CVE-2026-7556

Nome do Software Vulnerável e Versões Afetadas FV Flowplayer Video Player versões anteriores a 7.5.49.7213

Description O plugin FV Flowplayer Video Player para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado causado por sanitização de entrada e escape de saída insuficientes no texto dos comentários. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada. A exploração bem-sucedida depende de o administrador ter habilitado a configuração parse comments (Parse Vimeo and YouTube links), que não é o padrão, e requer que um comentário enviado seja aprovado por um administrador antes que o payload seja entregue.

Recommendations Atualize o plugin para uma versão posterior a 7.5.49.7212. Como mitigação temporária, desabilite a configuração parse comments (Parse Vimeo and YouTube links) do plugin.