CVE-2026-4082

Name of the Vulnerable Software and Affected Versions ER Swiffy Insert versões anteriores a 1.0.1

Description O plugin ER Swiffy Insert para WordPress contém um problema de Stored Cross-Site Scripting através do shortcode '[swiffy]'. O problema decorre da sanitização de entrada e escape de saída insuficientes dos atributos de shortcode fornecidos pelo usuário n, w e h. Esses atributos são processados usando a função extract() e interpolados na saída HTML sem o escape adequado, como esc attr(). Atacantes autenticados com nível de acesso Colaborador ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada.

Recommendations Atualize para uma versão posterior a 1.0.0. Como medida paliativa temporária, restrinja o uso dos atributos n, w e h dentro do shortcode '[swiffy]'.