CVE-2026-7509

Nome do Software Vulnerável e Versões Afetadas KIA Subtitle plugin for WordPress versões anteriores a 4.0.2

Descrição O plugin é suscetível a Stored Cross-Site Scripting (XSS), uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes nos atributos before e after do shortcode the-subtitle. Atacantes autenticados com nível de acesso de Colaborador (Contributor) ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada.

Recomendações Atualize o plugin para uma versão posterior a 4.0.1. Como medida paliativa temporária, restrinja o uso dos atributos before e after no shortcode the-subtitle para usuários com nível de acesso de Colaborador.