CVE-2026-7330 in Auto Affiliate Links Plugininformation

Résumé

par VulDB • 21/05/2026

Le plugin Auto Affiliate Links pour WordPress présente une vulnérabilité de type Stored Cross-Site Scripting (XSS stocké) dans les versions 6.8.8 et antérieures. Cette faille est due à une désinfection insuffisante des entrées sur le paramètre POST 'url' dans la fonction aal_url_stats_save_action(), ainsi qu'à une absence totale d'échappement des sorties dans aal_display_clicks(), où la valeur stockée est affichée directement dans l'attribut href et le texte interne d'un élément <a> sans utiliser esc_url(), esc_attr() ou esc_html(). Cela permet à des attaquants non authentifiés d'injecter des scripts web arbitraires dans la page des statistiques administrateur, qui s'exécuteront dans le navigateur d'un administrateur lors de la visite de la page, en exploitant un nonce publiquement exposé et un point de terminaison AJAX non authentifié enregistré via le hook wp_ajax_nopriv_.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

28/04/2026

Divulgation

08/05/2026

Modérer

accepté

Entrée

VDB-362050

CPE

prêt

EPSS

0.00075

KEV

non

Activités

très faible

Secteur

Telecommunication, Transportation

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7330
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7330
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7330/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!