CVE-2026-10738

Nome do Software Vulnerável e Versões Afetadas jQuery Hover Footnotes versões anteriores a 1.5

Descrição O plugin jQuery Hover Footnotes para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado envolvendo o Qualificador de Nota de Rodapé (Sintaxe '{{...}}'). Devido à sanitização de entrada e escape de saída insuficientes, invasores autenticados com nível de acesso de autor ou superior podem injetar scripts web arbitrários em páginas. Esses scripts são executados quando um usuário visita a página afetada. O ataque utiliza um payload de escape de atributo, como aspas duplas seguidas por um manipulador de eventos, que ignora a função wp kses post(). Esta função apenas remove tags HTML não permitidas e falha em sanitizar contextos de atributos porque o payload não contém colchetes angulares.

Recomendações Atualize para uma versão posterior a 1.4.