CVE-2026-12560

Nome do Software Vulnerável e Versões Afetadas Editorial Rating – Product Review & Rating System versões anteriores a 4.0.6

Descrição A sanitização de entrada e a filtragem de saída insuficientes permitem que atacantes autenticados com nível de acesso de administrador ou superior realizem Stored Cross-Site Scripting. Isso é feito injetando scripts web arbitrários através do campo 'Link URL', que são então armazenados nos metadados do post wpas er options via função update post meta(). Esses scripts são executados sempre que um usuário acessa a página afetada. Este problema ignora a isenção de capacidade unfiltered html padrão do WordPress porque a carga útil é armazenada nos metadados do post, em vez do conteúdo principal ou resumo do post.

Recomendações Atualize o Editorial Rating – Product Review & Rating System para a versão 4.0.6 ou posterior.