CVE-2026-9134

Nome do Software Vulnerável e Versões Afetadas FooGallery versões anteriores a 3.1.32

Description O plugin FooGallery para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado. Isso ocorre porque a função foogallery sanitize javascript() utiliza uma lista negra incompleta de manipuladores de eventos JavaScript, bloqueando apenas um subconjunto específico (onmouseover, onmouseout, onpointerenter, onclick, onload, onchange, onerror) enquanto permite outros como onmouseenter. Além disso, a função foogallery build container attributes safe() falha ao escapar a chave do atributo ao construir o HTML do contêiner da galeria. Atacantes autenticados com nível de acesso de contribuidor ou superior podem explorar o parâmetro de shortcode custom attribute key para injetar scripts web arbitrários que são executados quando um usuário visita a página afetada.

Recommendations Atualize para uma versão posterior a 3.1.31. Como medida paliativa temporária, restrinja o uso do parâmetro de shortcode custom attribute key por usuários com nível de acesso de contribuidor.