CVE-2026-4088

Name of the Vulnerable Software and Affected Versions Switch CTA Box versões anteriores a 1.2

Description O plugin Switch CTA Box para WordPress contém um problema de Cross-Site Scripting Armazenado no shortcode 'wppw cta box'. O problema decorre da sanitização de entrada e escape de saída insuficientes de valores de meta de postagem fornecidos pelo usuário, especificamente cta box button link, cta box button id, cta box button text e cta box description. O shortcode recupera a meta do post a partir de um ID de postagem especificado e exibe esses valores diretamente na saída HTML sem usar funções de escape. Isso permite que atacantes autenticados com nível de acesso de contribuidor ou superior injetem scripts web arbitrários que são executados quando um usuário visita a página afetada.

Recommendations Atualize o plugin para uma versão posterior a 1.1.