PT-2026-41269 · WordPress · The7 Theme
João Pedro Soares De Alcântara
·
Publicado
2026-05-15
·
Atualizado
2026-05-15
·
CVE-2026-6646
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
The7 theme for WordPress versões anteriores a 14.3.3
Description
Ocorre Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes no componente
title do parâmetro do shortcode link dentro do shortcode 'dt default button'. Atacantes autenticados com nível de acesso Colaborador ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada.Recommendations
Atualize para uma versão posterior a 14.3.2.
Como medida paliativa temporária, restrinja o uso do shortcode 'dt default button' para usuários com nível de acesso Colaborador.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The7 Theme