CVE-2026-6041

Name of the Vulnerable Software and Affected Versions Buzz Comments versões anteriores a 0.9.5

Description A sanitização de entrada e a escape de saída insuficientes na configuração 'Custom Buzz Avatar', especificamente na variável buzz comments avatar image, permitem que atacantes autenticados com nível de acesso de Administrador ou superior injetem scripts web arbitrários. Esses scripts são executados sempre que um usuário acessa a página de configurações do plugin. Stored Cross-Site Scripting é uma falha onde um script malicioso é armazenado permanentemente no servidor alvo, como em um banco de dados, e então servido a outros usuários.

Recommendations Atualize para uma versão posterior a 0.9.4. Como medida paliativa temporária, restrinja o acesso à página de configurações do plugin ou evite modificar a variável buzz comments avatar image até que a atualização seja aplicada.