CVE-2026-6404 in Anomify AI Plugininformación

Resumen

por VulDB • 2026-05-20

El plugin de WordPress Anomify AI – Anomaly Detection and Alerting es vulnerable a Stored Cross-Site Scripting (XSS) a través del parámetro 'anomify_api_key' en las versiones 0.3.6 y anteriores. Esto se debe a una sanitización insuficiente de la entrada y a la falta de escape en la salida: el plugin aplica sanitize_text_field() a la entrada Metric Data Key antes de guardarla mediante update_option(), pero sanitize_text_field() elimina las etiquetas HTML sin codificar los caracteres de comillas dobles, y el valor se imprime directamente en un contexto de atributo HTML (value="...") sin utilizar esc_attr(). Esto permite que los atacantes autenticados con acceso a nivel de administrador inyecten scripts web arbitrarios que se ejecutan cada vez que un usuario visita la página de configuración del plugin.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-15

Divulgación

2026-05-20

Moderación

aceptado

Artículo

VDB-364794

CPE

listo

CWE

CWE-79 (confirmado)

CVSS

4.4 (CNA)

EPSS

0.00044

KEV

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6404
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6404
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6404/

◂ Anterior Visión De Conjunto Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!