CVE-2026-7430

Nome do Software Vulnerável e Versões Afetadas Post Snippets versões anteriores a 4.0.20

Description O plugin Post Snippets para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado. Isso ocorre porque o conteúdo de snippets importados não é suficientemente escapado ao renderizar variáveis JavaScript no editor de postagens. Especificamente, a função jqueryUiDialog() em WPEditor.php incorpora o conteúdo do snippet em literais de string JavaScript sem escapar as aspas duplas. Ao usar o recurso de Importação/Exportação, o conteúdo ignora a função wp magic quotes(), que normalmente adicionaria barras invertidas de proteção. Isso permite que atacantes autenticados com nível de acesso de Administrador ou superior injetem scripts web arbitrários por meio de um arquivo de importação malicioso. Esses scripts são executados sempre que qualquer administrador acessa uma página do editor de postagens. Este problema não afeta instalações de site único, pois os administradores nesses ambientes já possuem a capacidade unfiltered html.

Recommendations Atualize para uma versão posterior a 4.0.19.