← voltar
CVE-2026-11589

WP Support Plus Responsive Ticket System <= 9.1.2 - Unauthenticated Stored XSS via File Upload

CVSS 8.8 HIGHEPSS 0.3%
Vexday Risk Score
41Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 8.8EPSS 0.3%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
30 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
The WP Support Plus Responsive Ticket System WordPress plugin through 9.1.2 does not properly validate uploaded files, allowing unauthenticated users to upload files containing malicious JavaScript (such as HTML or SVG) to a publicly accessible location, leading to Stored Cross-Site Scripting attacks against site users and administrators.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.