CVE-2026-8438

Nome do Software Vulnerável e Versões Afetadas All-In-One Security (AIOS) – Security and Firewall plugin for WordPress versões anteriores a 5.4.8

Description Ocorre Cross-Site Scripting (XSS) Armazenado devido à sanitização insuficiente de entrada na função get rest route() e à falta de escape de saída no método column default() da tabela de lista de logs de depuração. Quando o recurso 'Disable REST API for non-logged in users' (aiowps disallow unauthorized rest requests) e o log de depuração (aiowps enable debug) estão ambos ativados, um invasor não autenticado pode incorporar HTML ou JavaScript arbitrário no caminho da requisição REST. O caminho é recuperado via urldecode($ SERVER['REQUEST URI']), que decodifica payloads em caracteres HTML literais. Este valor não sanitizado é armazenado no banco de dados e posteriormente executado na sessão do navegador de um administrador quando este visualiza a página de Logs de Depuração do Painel AIOS. Isso pode levar ao roubo de nonces, ações AJAX/REST privilegiadas e comprometimento total do site.

Recommendations Atualize o plugin para uma versão posterior a 5.4.7. Como medida paliativa temporária, desative o log de depuração aiowps enable debug ou o recurso aiowps disallow unauthorized rest requests para evitar o armazenamento e a execução de scripts maliciosos.