CVE-2026-3001

Nome do Software Vulnerável e Versões Afetadas Gutenverse versões anteriores a 3.4.7

Description O plugin está sujeito a Reflected Cross-Site Scripting, uma falha onde uma aplicação inclui dados não confiáveis em uma página web sem a validação adequada, permitindo que scripts sejam executados no navegador da vítima. O problema ocorre porque a função render content() em class-search-result-title.php exibe o valor do parâmetro s via get query var('s') diretamente no HTML sem utilizar esc html() ou outras funções de escape. Atacantes não autenticados podem injetar scripts web arbitrários por meio de uma URL manipulada, que são executados quando um usuário clica no link, desde que o bloco gutenverse/search-result-title esteja ativo no template de resultados de pesquisa.

Recommendations Atualize para uma versão posterior a 3.4.6. Como medida paliativa temporária, remova o bloco gutenverse/search-result-title do template de resultados de pesquisa do site para minimizar o risco de exploração.