CVE-2026-4665

Nome do Software Vulnerável e Versões Afetadas WP Carousel Free versões anteriores a 2.7.11

Descrição Ocorre Cross-Site Scripting Armazenado quando o script fancybox-config.js lê o atributo id do contêiner do carrossel diretamente do DOM para construir um seletor jQuery sem sanitização. Se um usuário com nível de acesso de Colaborador ou superior criar um bloco HTML com um ID de contêiner de carrossel malformado, a configuração personalizada falha, fazendo com que a biblioteca fancybox integrada (v3.5.7) renderize o atributo data-caption como HTML bruto. Isso permite que atacantes autenticados injetem scripts web arbitrários que são executados quando um usuário clica em uma imagem no lightbox do carrossel manipulado.

Recomendações Atualize para uma versão posterior a 2.7.10.