CVE-2026-9125

Nome do Software Vulnerável e Versões Afetadas Presto Player versões anteriores a 4.2.1

Description O plugin Presto Player para WordPress contém um problema de Stored Cross-Site Scripting. A função getOverlays() não sanitiza adequadamente a entrada nem escapa a saída, permitindo que o parâmetro link url do shortcode [presto player overlay] seja copiado diretamente para a configuração de sobreposição sem validação de esquema. Isso permite que URIs javascript: sejam renderizadas como o href de um elemento âncora clicável pelo componente web presto-dynamic-overlay-ui. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários que são executados quando um usuário visita a página afetada.

Recommendations Atualize para uma versão posterior a 4.2.0. Como medida paliativa temporária, restrinja o uso do parâmetro link url dentro do shortcode [presto player overlay].