CVE-2026-7209

Nome do Software Vulnerável e Versões Afetadas Simple Link Directory versões anteriores a 8.9.3

Descrição O plugin Simple Link Directory para WordPress contém um problema de Cross-Site Scripting Armazenado. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas. Isso ocorre porque o shortcode qcopd-directory não sanitiza adequadamente a entrada nem escapa a saída de atributos fornecidos pelo usuário, especificamente a variável title font size. Esses scripts são executados sempre que um usuário visita a página afetada.

Recomendações Atualize o plugin para uma versão posterior a 8.9.2. Como medida paliativa temporária, restrinja o uso do atributo title font size dentro do shortcode qcopd-directory para usuários com nível de acesso de contribuidor.