CVE-2026-4011 in Power Charts Plugininformação

Sumário

de VulDB • 21/05/2026

O plugin Power Charts Lite para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) via o parâmetro 'id' do shortcode [pc] em todas as versões até, e incluindo, a 0.1.0. Isso ocorre devido à sanitização insuficiente de entrada e à falta de escape de saída no atributo do shortcode 'id'. Especificamente, na função pc_shortcode(), o atributo 'id' é extraído dos atributos do shortcode fornecidos pelo usuário e concatenado diretamente no atributo class de um elemento HTML div, sem qualquer escape ou sanitização na linha 62. O HTML resultante é então passado por html_entity_decode() antes de ser retornado, o que compromete ainda mais qualquer segurança potencial. Isso permite que atacantes autenticados, com acesso nível Contribuidor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Wordfence

Reservar

11/03/2026

Divulgação

15/04/2026

Moderação

aceite

Entrada

VDB-357685

CPE

pronto

EPSS

0.00265

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!