CVE-2026-4089

Name of the Vulnerable Software and Affected Versions Twittee Text Tweet versões anteriores a 1.0.9

Description A sanitização insuficiente de entrada e a falta de escape de saída na função ttt twittee tweeter() permitem que atacantes autenticados com nível de acesso Colaborador ou superior injetem scripts web arbitrários. A função utiliza extract() para extrair atributos de shortcode para variáveis locais e os concatena na saída HTML sem escape. Especificamente, o parâmetro id é inserido em um contexto de atributo id HTML sem o escape adequado de atributos, permitindo a injeção de manipuladores de eventos HTML arbitrários. Além disso, os atributos tweet, content, balloon e theme são injetados em JavaScript inline sem escape.

Recommendations Atualize para uma versão posterior a 1.0.8.