CVE-2026-1543

Nome do Software Vulnerável e Versões Afetadas Avada (Fusion) Builder plugin for WordPress versões anteriores a 3.15.3

Descrição O plugin está sujeito a Stored Cross-Site Scripting (XSS), uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes em múltiplos shortcodes. Atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior podem injetar scripts web arbitrários em páginas. Esses scripts são executados quando um usuário, normalmente um administrador, acessa uma página que exibe dados dinâmicos do usuário, como informações biográficas recuperadas através do recurso Dynamic Data.

Recomendações Atualize o plugin para uma versão posterior a 3.15.2.