CVE-2026-6397

Nome do Software Vulnerável e Versões Afetadas Sticky versões anteriores a 2.5.7

Descrição O plugin Sticky para WordPress contém um problema de Cross-Site Scripting Armazenado. Isso ocorre porque a função cvmh sticky front render() não sanitiza adequadamente a entrada nem escapa a saída para o atributo readmoretext dentro do shortcode cvmh-sticky. Especificamente, o valor do atributo readmoretext é processado via apply filters() e concatenado na saída HTML sem o uso de funções de escape como esc html(). Consequentemente, atacantes autenticados com nível de acesso de Colaborador (Contributor) ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita uma página contendo o shortcode malicioso.

Recomendações Atualize para uma versão posterior a 2.5.6. Como medida paliativa temporária, restrinja a capacidade de usuários com nível de acesso de Colaborador de editar páginas ou usar o shortcode cvmh-sticky até que a atualização seja aplicada.