CVE-2026-9714

Nome do Software Vulnerável e Versões Afetadas Simple Divi Shortcode versões anteriores a 1.3

Description O plugin Simple Divi Shortcode para WordPress contém um problema de Stored Cross-Site Scripting. Isso ocorre porque a função showmodule shortcode() não sanitiza adequadamente a entrada nem escapa a saída ao lidar com o parâmetro id do shortcode [showmodule]. O atributo id é concatenado diretamente em uma string de shortcode construída dinamicamente sem o uso de esc attr() ou outros métodos de escape, permitindo que um invasor quebre o contexto do atributo e injete HTML arbitrário. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web maliciosos em páginas, que são executados quando um usuário visita a página afetada.

Recommendations Atualize para uma versão posterior a 1.2. Como medida paliativa temporária, restrinja o uso do parâmetro id dentro do shortcode [showmodule] ou limite as permissões de usuário para evitar que contribuidores editem páginas com este shortcode.