CVE-2026-6177

Nome do Software Vulnerável e Versões Afetadas Custom Twitter Feeds versões anteriores a 2.5.5

Descrição O plugin Custom Twitter Feeds para WordPress contém um problema de Cross-Site Scripting Armazenado. Isso ocorre porque a função CTF Display Elements::get post text() não escapa adequadamente a saída ao renderizar o texto de tweets em cache. Especificamente, a ação AJAX 'ctf get more posts' está acessível a usuários não autenticados e exibe dados de tweets em cache usando nl2br() sem a devida filtragem de HTML. Um invasor pode injetar HTML ou JavaScript malicioso nos dados de tweets em cache, que são executados quando um usuário não autenticado acessa o endpoint afetado.

Recomendações Atualize o plugin para uma versão posterior a 2.5.4. Como medida paliativa temporária, restrinja o acesso à ação AJAX 'ctf get more posts' para minimizar o risco de exploração.