CVE-2026-9019

Nome do Software Vulnerável e Versões Afetadas Easy Image Collage versões anteriores a 1.13.7

Description O plugin Easy Image Collage para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado resultante de sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de autor ou superior podem injetar scripts web arbitrários em páginas através dos parâmetros grid[properties][borderColor] e grid[images][N][attachment url]. Esses scripts são executados sempre que um usuário visita a página afetada. O problema persiste porque os dados são armazenados usando a função update post meta() em vez de wp insert post(), ignorando a restrição unfiltered html normalmente usada pelo WordPress para controlar as permissões de autores.

Recommendations Atualize para uma versão posterior a 1.13.6. Como mitigação temporária, restrinja o acesso de nível de autor aos parâmetros grid[properties][borderColor] e grid[images][N][attachment url].