CVE-2026-5341

Nome do Software Vulnerável e Versões Afetadas NMR Strava activities plugin for WordPress versões anteriores a 1.0.15

Descrição A sanitização de entrada e a escape de saída insuficientes em atributos fornecidos pelo usuário no shortcode strava nmr connect permitem que atacantes autenticados, com nível de acesso de contribuidor ou superior, injetem scripts web arbitrários. Esses scripts são executados sempre que um usuário acessa uma página que contenha o conteúdo injetado. Trata-se de um problema de Cross-Site Scripting Armazenado, onde scripts maliciosos são armazenados permanentemente no servidor alvo.

Recomendações Atualize o plugin para uma versão posterior à 1.0.14. Como medida paliativa temporária, restrinja o uso do shortcode strava nmr connect a usuários confiáveis com níveis de privilégio mais elevados.