CVE-2026-4082 in ER Swiffy Insert Plugininformação

Sumário

de VulDB • 21/05/2026

O plugin ER Swiffy Insert para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio do shortcode [swiffy] em todas as versões até a 1.0.0, inclusive. Isso ocorre devido à sanitização insuficiente de entrada e à falta de escape de saída nos atributos do shortcode fornecidos pelo usuário ('n', 'w', 'h'). Esses atributos são extraídos usando a função extract() e interpolados diretamente na saída HTML sem qualquer escape, como esc_attr(). Isso permite que atacantes autenticados, com acesso de nível Contribuidor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

12/03/2026

Divulgação

22/04/2026

Moderação

aceite

Entrada

VDB-358800

CPE

pronto

EPSS

0.00014

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4082
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4082
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4082/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!