CVE-2026-9022

Nome do Software Vulnerável e Versões Afetadas Splide Carousel Block versões anteriores a 1.7.2

Description O plugin Splide Carousel Block para WordPress contém um problema de Cross-Site Scripting Armazenado causado por sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários através do atributo de bloco url. Esses scripts são executados quando um usuário acessa a página afetada. Para que a carga útil seja executada para os visitantes do site, a postagem deve primeiro ser aprovada e publicada por um editor ou administrador.

Recommendations Atualize o plugin para uma versão posterior a 1.7.1. Como mitigação temporária, restrinja a capacidade de usuários com nível de acesso de contribuidor de modificar o atributo de bloco url.