CVE-2026-6690

Nome do Software Vulnerável e Versões Afetadas LifePress versões anteriores a 2.2.3

Descrição O plugin LifePress para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado. Isso ocorre porque a função wp ajax nopriv lp update mds é registrada sem verificações de capacidade ou verificação de nonce (um token único usado para prevenir falsificação de solicitações entre sites), e falha ao sanitizar adequadamente a entrada e escapar a saída ao renderizar o nome da série na página de configurações do administrador. Atacantes não autenticados podem explorar isso enviando scripts web arbitrários através do parâmetro 'n' da ação AJAX 'lp update mds', que são executados quando um usuário visita a página afetada.

Recomendações Atualize o plugin para uma versão posterior a 2.2.2. Como medida paliativa temporária, restrinja o acesso à ação AJAX 'lp update mds' ou ao parâmetro 'n' até que a atualização seja aplicada.