CVE-2026-8853

Nome do Software Vulnerável e Versões Afetadas MW WP Form versões anteriores a 5.1.4

Description Ocorre Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de editor ou superior podem injetar scripts web arbitrários em páginas. Isso é possível porque o parâmetro memo é armazenado usando a função update post meta() em vez de wp insert post(), o que ignora as proteções kses e unfiltered html integradas do WordPress. Consequentemente, os atacantes podem usar tags de fechamento injetadas para sair do elemento textarea, independentemente da filtragem de conteúdo baseada em funções.

Recommendations Atualize para uma versão posterior a 5.1.3. Como medida paliativa temporária, restrinja o acesso ao parâmetro memo para usuários com permissões de editor até que a atualização seja aplicada.