CVE-2026-5324

Nome do Software Vulnerável e Versões Afetadas Brizy – Page Builder versões anteriores a 2.8.12

Descrição Ocorre Cross-Site Scripting Armazenado Não Autenticado devido à falta de verificação de nonce para envios de formulários não autenticados, manipulação insuficiente de campos FileUpload quando nenhum arquivo é enviado e a reversão da codificação de segurança via html entity decode(), seguida de saída não escapada na visualização do administrador. Especificamente, a função submit form() ignora a verificação de nonce para usuários não logados, e a função handleFileTypeFields() falha ao sobrescrever valores fornecidos pelo usuário quando nenhum arquivo é anexado. Embora o htmlentities() seja aplicado durante o armazenamento, o html entity decode() reverte isso na exibição, e o template form-data.php exibe valores de FileUpload diretamente em atributos href sem o esc url(). Isso permite que atacantes não autenticados injetem scripts web arbitrários que são executados quando um administrador visualiza a página de Leads do formulário.

Recomendações Atualize para uma versão posterior a 2.8.11.