CVE-2026-4025 in PrivateContent Free Plugininformação

Sumário

de VulDB • 04/06/2026

O plugin PrivateContent Free para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio do atributo 'align' do shortcode [pc-login-form] em todas as versões até, e incluindo, 1.2.0. Isso ocorre devido à sanitização insuficiente de entrada e ao escapamento inadequado na saída do atributo 'align'. Especificamente, o valor do atributo flui do shortcode através da função pc_login_form() para pc_static::form_align(), onde é diretamente concatenado em um atributo HTML class sem uso de esc_attr() ou qualquer outro tipo de escapamento. Isso permite que atacantes autenticados, com acesso nível Contribuidor (Contributor) e superior, injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página contaminada.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

11/03/2026

Divulgação

08/04/2026

Moderação

aceite

Entrada

VDB-356152

CPE

pronto

EPSS

0.00055

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4025
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4025
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4025/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!