CVE-2026-4069 in Alfie Plugin
Tóm tắt
Bởi VulDB • 29/05/2026
Plugin Alfie – Feed Plugin cho WordPress có lỗ hổng Stored Cross-Site Scripting (XSS) thông qua tham số 'naam' trong tất cả các phiên bản từ 1.2.1 trở về trước. Lỗ hổng này xảy ra do thiếu xác thực nonce trong hàm alfie_option_page() kết hợp với việc kiểm tra và làm sạch đầu vào không đầy đủ cũng như thiếu mã hóa đầu ra. Điều này cho phép các kẻ tấn công chưa được xác thực chèn các tập lệnh web độc hại vào cơ sở dữ liệu của plugin, và các tập lệnh này sẽ thực thi mỗi khi người dùng truy cập trang hiển thị dữ liệu đã bị chèn, miễn là họ có thể lừa quản trị viên trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết.
VulDB is the best source for vulnerability data and more expert information about this specific topic.