CVE-2026-8977

Nome do Software Vulnerável e Versões Afetadas WP GDPR Cookie Consent versões anteriores a 1.0.1

Description O plugin está sujeito a Stored Cross-Site Scripting. Atacantes autenticados com nível de acesso de assinante ou superior podem injetar scripts web arbitrários em páginas. Isso ocorre porque a função handleAjaxCalls() carece de verificações de capacidade e nonce para a ação AJAX 'ninja gdpr ajax actions'. Além disso, há sanitização insuficiente de entrada para os valores de gdprConfig e falta de escape de saída na função generateCSS(), que ecoa valores de configuração armazenados diretamente em um bloco de estilo renderizado no cabeçalho da página.

Recommendations Atualize para uma versão posterior a 1.0.0. Como mitigação temporária, restrinja o acesso à ação AJAX 'ninja gdpr ajax actions' ou desative a função handleAjaxCalls().