CVE-2026-5247

Nome do Software Vulnerável e Versões Afetadas Schedule Post Changes With PublishPress Future versões anteriores a 4.10.1

Descrição Ocorre Cross-Site Scripting Armazenado devido à sanitização insuficiente de entrada do atributo wrapper dentro do shortcode [futureaction]. O plugin utiliza a função esc html(), que codifica entidades HTML, mas não impede a injeção de atributos quando o valor é usado como um nome de tag HTML em uma chamada sprintf(). Isso permite que atacantes autenticados com acesso de nível de administrador, ou contribuidores se tiverem permissão, injetem atributos de manipuladores de eventos por meio de espaços no valor do wrapper. Consequentemente, scripts web arbitrários podem ser injetados em páginas e executados quando um usuário as acessa.

Recomendações Atualize para uma versão posterior a 4.10.0. Como medida paliativa temporária, restrinja o uso do atributo wrapper no shortcode [futureaction] apenas a administradores confiáveis.