CVE-2026-4920

Nome do Software Vulnerável e Versões Afetadas Next Date plugin for WordPress versões anteriores a 1.1

Descrição O plugin é suscetível a Stored Cross-Site Scripting (XSS), uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes de atributos fornecidos pelo usuário no atributo de shortcode default. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada.

Recomendações Atualize o plugin para uma versão posterior a 1.0. Como medida paliativa temporária, restrinja o uso do atributo default em shortcodes para usuários com nível de acesso de contribuidor.