CVE-2026-4080

Nome do Software Vulnerável e Versões Afetadas Easy Cart versões anteriores a 1.9

Description O plugin Easy Cart para WordPress contém um problema de Stored Cross-Site Scripting. Atacantes autenticados com nível de acesso de Colaborador (Contributor) ou superior podem injetar scripts web arbitrários em páginas. Isso ocorre porque a função ectp add to cart() não escapa adequadamente caracteres de aspas duplas ao processar atributos de shortcode, permitindo que um atacante saia do contexto do atributo HTML e injete manipuladores de eventos. Os atributos afetados incluem itemid, product name, product desc, product qty e price dentro do shortcode 'add to cart'.

Recommendations Atualize para uma versão posterior a 1.8. Como medida paliativa temporária, restrinja o uso do shortcode 'add to cart' e de seus atributos itemid, product name, product desc, product qty e price para usuários com nível de acesso de Colaborador.