PT-2026-35659 · WordPress · Wpc Smart Messages For Woocommerce
Djaidja Moundjid
·
Publicado
2026-04-28
·
Atualizado
2026-04-29
·
CVE-2026-6725
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
WPC Smart Messages for WooCommerce versões anteriores a 4.2.9
Descrição
Ocorre Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes em atributos fornecidos pelo usuário. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários por meio do atributo
text do shortcode wpcsm text rotator. Esses scripts são executados sempre que um usuário visita a página afetada.Recomendações
Atualize para uma versão posterior a 4.2.8.
Como medida paliativa temporária, restrinja o uso do atributo
text dentro do shortcode wpcsm text rotator apenas a usuários confiáveis.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpc Smart Messages For Woocommerce