CVE-2026-9280

Nome do Software Vulnerável e Versões Afetadas Ad Inserter – Ad Manager & AdSense Ads versões anteriores a 2.8.16

Descrição O plugin está sujeito a Reflected Cross-Site Scripting (XSS), uma falha onde a aplicação inclui dados não confiáveis em uma página web sem a devida validação, permitindo que invasores executem scripts no navegador da vítima. Isso ocorre por meio de parâmetros de URL quando o modo iframe está ativo, devido à sanitização de entrada e escape de saída insuficientes. Atacantes não autenticados podem injetar scripts web arbitrários se um usuário for enganado a clicar em um link malicioso. Isso requer que a configuração AI OPTION IFRAME esteja habilitada em pelo menos um bloco de anúncio na página visada.

Recomendações Atualize o plugin para uma versão posterior a 2.8.15. Como mitigação temporária, desabilite o AI OPTION IFRAME (modo iframe) em todos os blocos de anúncios.