CVE-2026-7475

Nome do Software Vulnerável e Versões Afetadas Sky Addons versões anteriores a 3.3.3

Descrição O plugin Sky Addons para WordPress permite que atacantes autenticados com nível de acesso de Autor ou superior injetem scripts web arbitrários. Isso ocorre porque o tipo de post personalizado sky-custom-scripts é registrado com capability type => 'post' e show in rest => true, enquanto o campo meta sky script content carece de sanitização de entrada suficiente e de escape de saída durante a renderização no frontend. Esses scripts são executados em todas as páginas do frontend para todos os visitantes do site via REST API.

Recomendações Atualize o plugin para uma versão posterior a 3.3.2. Como medida paliativa temporária, restrinja o acesso à REST API ou limite as permissões de usuário para evitar que usuários de nível Autor modifiquem o campo meta sky script content.