CVE-2026-4279

Name of the Vulnerable Software and Affected Versions Bread & Butter versões anteriores a 8.2.0.26

Description O Cross-Site Scripting Armazenado é possível através do shortcode 'breadbutter-customevent-button'. A função customEventShortCodeButton() não aplica a sanitização de entrada e a escape de saída adequadas no atributo de shortcode event, interpolando diretamente o valor em uma string JavaScript dentro de um atributo HTML onclick. Isso permite que atacantes autenticados com nível de acesso Colaborador ou superior injetem scripts web arbitrários que são executados quando um usuário clica no botão injetado.

Recommendations Atualize para uma versão posterior a 8.2.0.25.