CVE-2026-4665 in WP Carousel Free Plugininformação

Sumário

de VulDB • 30/05/2026

O plugin WP Carousel Free para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) via atributos `data-caption` do fancybox manipulados em todas as versões até, e incluindo, a 2.7.10. Isso ocorre devido ao script `fancybox-config.js` ler o atributo `id` do contêiner do carrossel diretamente do DOM para construir um seletor jQuery sem sanitização. Quando um Contributor cria um bloco HTML com um ID de contêiner de carrossel malformado (contendo caracteres inválidos para seletores jQuery), a configuração personalizada do fancybox gera um erro JavaScript e falha na inicialização. Isso faz com que a biblioteca fancybox embutida (v3.5.7) recorra ao seu tratamento padrão de legendas, que renderiza o conteúdo do atributo `data-caption` como HTML bruto. Como o WordPress permite atributos `data-*` através da função `wp_kses_post()`, isso possibilita que atacantes autenticados, com acesso de nível Contributor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário clicar em uma imagem na lightbox do carrossel manipulada.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

23/03/2026

Divulgação

05/05/2026

Moderação

aceite

Entrada

VDB-361090

CPE

pronto

EPSS

0.00034

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4665
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4665
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4665/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!