CVE-2026-4081

Nome do Software Vulnerável e Versões Afetadas ZeM STL plugin for WordPress versões anteriores a 1.1

Description O Cross-Site Scripting Armazenado é possível através do shortcode [zemstl] devido à sanitização de entrada e escape de saída insuficientes de atributos fornecidos pelo usuário. Especificamente, os parâmetros url, color e bgcolor são interpolados em contextos de atributos HTML sem serem processados por esc attr() ou funções de escape semelhantes. Isso permite que atacantes autenticados com nível de acesso de Colaborador ou superior injetem scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada.

Recommendations Atualize o plugin para uma versão posterior a 1.0. Como mitigação temporária, restrinja a capacidade de usuários com nível de acesso de Colaborador de usar o shortcode [zemstl] ou modificar os parâmetros url, color e bgcolor.