CVE-2026-3481

Nome do Software Vulnerável e Versões Afetadas WP Blockade versões anteriores a 0.9.15

Descrição O plugin está sujeito a Reflected Cross-Site Scripting, uma falha onde uma aplicação inclui dados não confiáveis em uma página web sem a devida validação, permitindo que invasores executem scripts no navegador da vítima. O problema existe na função render shortcode preview(), que processa o parâmetro shortcode da requisição $ GET. A função utiliza stripslashes(), mas falha em realizar a sanitização de entrada ou a escape de saída suficientes antes de passar os dados para do shortcode(). Se a entrada não for um shortcode válido do WordPress, ela é refletida diretamente na página. Isso requer que o invasor esteja autenticado com, no mínimo, uma conta de nível Subscriber, pois o endpoint é registrado via admin post e carece de verificação de nonce ou verificações de capacidade.

Recomendações Atualize para uma versão posterior a 0.9.14. Como medida paliativa temporária, restrinja o acesso à função render shortcode preview() ou evite usar o parâmetro shortcode até que a atualização seja aplicada.