CVE-2026-2374

Nome do Software Vulnerável e Versões Afetadas Login No Captcha reCAPTCHA versões anteriores a 1.8.1

Descrição O plugin está sujeito a Stored Cross-Site Scripting (XSS), uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. O problema ocorre porque a função authenticate() armazena a saída não sanitizada da superglobal $ SERVER['PHP SELF'] na opção login nocaptcha error do WordPress durante tentativas de login a partir de páginas não padronizadas, como 'xmlrpc.php'. Posteriormente, a função admin notices() exibe esse valor armazenado no HTML do painel de administração sem a devida filtragem. Isso permite que atacantes não autenticados injetem scripts web arbitrários que são executados quando um administrador com um endereço IP permitido acessa o painel em até 30 segundos após o ataque.

Recomendações Atualize para uma versão posterior a 1.8.0.