CVE-2026-5077

Nome do Software Vulnerável e Versões Afetadas Total theme for WordPress versões anteriores a 2.2.2

Descrição O Cross-Site Scripting Armazenado é possível através de títulos de postagens devido à escape de saída insuficiente ao renderizar a função the title() dentro do contexto de atributo HTML no template da seção de blog da página inicial. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas. Esses scripts são executados quando um usuário acessa uma página injetada, desde que a postagem maliciosa seja publicada e exibida com uma imagem destacada na seção de blog da Página Inicial.

Recomendações Atualize para uma versão posterior a 2.2.1.