CVE-2026-7795

Nome do Software Vulnerável e Versões Afetadas Click to Chat – WA Widget versões anteriores a 4.39

Description O plugin está sujeito a Cross-Site Scripting (XSS) Armazenado. Atacantes autenticados com nível de acesso de Colaborador ou superior podem injetar scripts web arbitrários em páginas. Isso ocorre porque a função CCW Shortcode::shortcode() não escapa adequadamente o parâmetro num dentro do shortcode [chat]. Embora o esc attr() seja aplicado, as entidades HTML resultantes são decodificadas pelos navegadores quando colocadas dentro de atributos de manipuladores de eventos HTML, como o atributo onclick em arquivos de template de estilo (ex: 'sc-style-1.php'). Isso permite que um payload escape da string literal do JavaScript window.open() e execute código arbitrário quando um usuário clica no botão de chat do WhatsApp.

Recommendations Atualize o plugin para uma versão posterior a 4.38. Como medida paliativa temporária, evite usar o parâmetro num no shortcode [chat] até que a atualização seja aplicada.