CVE-2026-8885

Nome do Software Vulnerável e Versões Afetadas DeMomentSomTres Shortcodes versões anteriores a 1.1.2

Description O plugin DeMomentSomTres Shortcodes para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado. Isso ocorre porque a função st callout() não sanitiza adequadamente a entrada nem escapa a saída para os atributos width e align do shortcode 'callout', concatenando esses valores diretamente em um atributo de estilo HTML. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada.

Recommendations Atualize para uma versão posterior a 1.1.1. Como medida paliativa temporária, restrinja o uso do shortcode 'callout' ou limite os atributos width e align até que a atualização seja aplicada.