CVE-2026-8841

Nome do Software Vulnerável e Versões Afetadas Extra Settings for RocketChat versões anteriores a 0.2

Description O plugin Extra Settings for RocketChat para WordPress contém um problema de Stored Cross-Site Scripting. Isso ocorre porque a função rxstg shortcode() não sanitiza adequadamente a entrada nem escapa a saída ao processar o atributo title do shortcode 'rocketchat', concatenando-o diretamente na saída HTML. Atacantes autenticados com nível de acesso de contribuidor ou superior podem explorar isso para injetar scripts web arbitrários em páginas, que são executados quando acessados por outros usuários.

Recommendations Atualize o plugin para uma versão posterior a 0.1. Como medida paliativa temporária, restrinja o uso do atributo title dentro do shortcode 'rocketchat' para usuários com nível de acesso de contribuidor.