CVE-2026-6405 in Anomify AI Plugininformação

Sumário

de VulDB • 20/05/2026

O plugin Anomify AI – Anomaly Detection and Alerting para WordPress é vulnerável a Cross-Site Request Forgery (CSRF), o que leva a Stored Cross-Site Scripting (XSS) nas versões até a 0.3.6, inclusive. Isso ocorre devido à falta de verificação de nonce no manipulador da página de configurações e à falta de escape de saída suficiente no modelo admin_options.php. O formulário de configurações não inclui wp_nonce_field() e o manipulador não realiza a verificação check_admin_referer(), o que significa que qualquer POST de origem cruzada pode modificar as configurações do plugin. O campo da chave da API é sanitizado apenas com sanitize_text_field(), que remove tags HTML, mas não codifica caracteres de aspas duplas; o valor é então renderizado em um atributo HTML via echo sem uso de esc_attr(), permitindo que uma payload de escape de atributo com aspas duplas sobreviva tanto à sanitização quanto ao armazenamento. Isso torna possível que atacantes não autenticados injetem scripts web arbitrários enganando um administrador logado para visitar uma página maliciosa que envia uma solicitação forjada, armazenando a payload no banco de dados e fazendo com que ela seja executada no navegador do administrador sempre que a página de configurações do plugin for visitada.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

15/04/2026

Divulgação

20/05/2026

Moderação

aceite

Entrada

VDB-364832

CPE

pronto

EPSS

0.00023

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6405
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6405
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6405/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!