CVE-2026-7330 in Auto Affiliate Links Plugininformação

Sumário

de VulDB • 26/05/2026

O plugin Auto Affiliate Links para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) nas versões até, e incluindo, a 6.8.8. Isso ocorre devido à sanitização insuficiente de entrada no parâmetro POST 'url' na função aal_url_stats_save_action() e à ausência completa de escape de saída em aal_display_clicks(), onde o valor armazenado é ecoado diretamente no atributo href e no texto interno de um elemento anchor sem o uso de esc_url(), esc_attr() ou esc_html(). Isso permite que atacantes não autenticados injetem scripts web arbitrários na página de estatísticas do administrador, que são executados no navegador do administrador quando a página é visitada, aproveitando um nonce publicamente exposto e um endpoint AJAX não autenticado registrado por meio do hook wp_ajax_nopriv_.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

28/04/2026

Divulgação

08/05/2026

Moderação

aceite

Entrada

VDB-362050

CPE

pronto

EPSS

0.00075

KEV

não

Atividades

muito baixo

Sector

Transportation, Telecommunication

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7330
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7330
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7330/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!