CVE-2026-7457

Nome do Software Vulnerável e Versões Afetadas LatePoint versões anteriores a 5.5.1

Descrição O plugin LatePoint para WordPress contém um problema de Cross-Site Scripting Armazenado. O problema ocorre no endpoint de atualização de perfil do gabinete do cliente porque o OsCustomerModel não sobrescreve params to sanitize(), permitindo que os parâmetros POST first name, last name, phone e notes sejam armazenados sem sanitização no banco de dados via set data(). Além disso, a função generate preview() não utiliza esc html() ao injetar esses valores no HTML do modelo de notificação usando str replace(). Atacantes autenticados com acesso de nível de cliente ou superior podem injetar scripts web arbitrários que são executados no navegador de um administrador ou agente quando um modelo de notificação que referencia variáveis como customer full name, customer first name, customer last name, customer phone ou customer notes é visualizado.

Recomendações Atualize o plugin para uma versão posterior a 5.5.0.