PT-2026-55508 · WordPress · Wpdiscuz

Mickeyjoe

·

Publicado

2026-07-03

·

Atualizado

2026-07-03

·

CVE-2026-9148

CVSS v3.1

7.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas wpDiscuz versões anteriores a 7.6.57
Descrição Ocorre Cross-Site Scripting (XSS) Armazenado quando o plugin falha ao escapar adequadamente a saída na função getCommentAuthor(). Isso acontece porque o valor comment author url, fornecido no campo Website do comentarista convidado, é interpolado diretamente em atributos HTML entre aspas simples sem a aplicação de esc url() ou esc attr(). Um invasor não autenticado pode enviar um comentário manipulado contendo um payload malicioso no campo Website, que é então armazenado e executado no navegador de qualquer usuário, incluindo administradores, que acessar a página afetada. Isso pode levar ao sequestro de sessão, roubo de conta e manipulação de conteúdo.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-9148

Produtos afetados

Wpdiscuz