PT-2026-58094 · WordPress · Hi.Events

·

CVE-2026-60119

·

Publicado

2026-07-14

·

Atualizado

2026-07-14

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Hi.Events versões anteriores a 1.11.0
Description Atacantes autenticados com permissões de criação ou edição de eventos podem realizar cross-site scripting ao inserir um título de evento malicioso contendo a sequência </script>. Isso ocorre porque a sequência não é escapada por JSON.stringify() quando incorporada em tags de script inline. Isso permite que o atacante saia do contexto do script dentro do bloco de dados estruturados application/ld+json ou do estado reidratado no lado do servidor, executando HTML e JavaScript arbitrários no navegador de qualquer usuário que visualize a página pública do evento, incluindo visitantes não autenticados e administradores.
Recommendations Atualize para a versão 1.11.0 ou posterior.

Exploit

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-60119
GHSA-2GGX-79G6-2JMJ

Produtos afetados

Hi.Events