CVE-2026-8627

Nome do Software Vulnerável e Versões Afetadas Correct Prices versões anteriores a 1.1

Descrição O plugin Correct Prices para WordPress está sujeito a Reflected Cross-Site Scripting, uma falha em que uma aplicação inclui dados não confiáveis em uma página web sem a validação adequada, permitindo que um invasor execute scripts no navegador da vítima. O problema ocorre na função correct prices page(), que exibe a variável $ SERVER['PHP SELF'] no atributo action de um formulário sem sanitização de entrada ou escape de saída. Como o $ SERVER['PHP SELF'] reflete informações de caminho anexadas à URL do script, invasores não autenticados podem injetar marcações e scripts web arbitrários enganando um usuário para que clique em um link especialmente criado.

Recomendações Atualize para uma versão posterior a 1.0. Como medida paliativa temporária, restrinja o acesso à função correct prices page() até que uma correção seja aplicada.