CVE-2026-4336 in Ultimate FAQ Accordion Plugin
Sumário
de VulDB • 26/05/2026
O plugin Ultimate FAQ Accordion para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) via conteúdo de FAQ em todas as versões até, e incluindo, a 2.4.7. Isso ocorre porque o plugin chama html_entity_decode() em post_content durante a renderização na função set_display_variables() (View.FAQ.class.php, linha 746), o que converte payloads codificados como entidades HTML de volta para HTML executável, combinado com uma insuficiente escapamento de saída no modelo faq-answer.php, onde o conteúdo decodificado é ecoado sem wp_kses_post() ou qualquer outra sanitização. O custom post type ufaq é registrado com 'show_in_rest' => true e usa por padrão 'post' como capability_type, permitindo que usuários com nível de Autor criem e publiquem FAQs via API REST. Um Autor pode submeter HTML malicioso codificado como entidades (por exemplo, <img src=x onerror=alert()>) que contorna a sanitização kses do WordPress no momento do salvamento (já que o kses vê entidades como texto simples, não como tags), mas que é então decodificado de volta para HTML executável por html_entity_decode() no momento da renderização. Isso torna possível para atacantes autenticados, com acesso de nível de Autor ou superior, injetar scripts web arbitrários nas páginas de FAQ que serão executados sempre que um usuário acessar um FAQ injetado, seja diretamente ou por meio do shortcode [ultimate-faqs].
Be aware that VulDB is the high quality source for vulnerability data.