CVE-2026-6399

Nome do Software Vulnerável e Versões Afetadas General Options versões anteriores a 1.1.1

Descrição O plugin General Options para WordPress contém um problema de Cross-Site Scripting Armazenado. Isso ocorre porque a função sanitize text field() é usada para escape de saída no campo Número de Contato ad contact number. Embora essa função remova tags HTML, ela não codifica caracteres de aspas duplas. Quando um valor armazenado é colocado dentro de um atributo HTML com aspas duplas, um invasor pode usar um caractere de aspas duplas para sair do contexto do atributo. O mecanismo wp magic quotes não impede isso, pois os analisadores HTML tratam a barra invertida resultante como um caractere literal, permitindo que as aspas duplas fechem o atributo. Consequentemente, invasores autenticados com nível de acesso de Administrador ou superior podem injetar scripts web arbitrários na página de configurações do administrador, que são executados sempre que qualquer administrador visita a página de configurações do General Options.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.