CVE-2026-6404 in Anomify AI Plugin
Tóm tắt
Bởi VulDB • 20/05/2026
Plugin Anomify AI – Anomaly Detection and Alerting cho WordPress tồn tại lỗ hổng Stored Cross-Site Scripting (XSS) thông qua tham số 'anomify_api_key' trong các phiên bản từ 0.3.6 trở xuống. Lỗ hổng này xảy ra do việc làm sạch dữ liệu đầu vào không đầy đủ và thiếu việc mã hóa dữ liệu đầu ra: plugin sử dụng hàm sanitize_text_field() để làm sạch trường Metric Data Key trước khi lưu trữ thông qua update_option(), tuy nhiên sanitize_text_field() chỉ loại bỏ các thẻ HTML mà không mã hóa các ký tự dấu ngoặc kép, và giá trị sau đó được in trực tiếp vào ngữ cảnh thuộc tính HTML (value="...") mà không sử dụng esc_attr(). Điều này cho phép các kẻ tấn công đã xác thực với quyền cấp quản trị viên chèn các tập lệnh web tùy ý, sẽ được thực thi mỗi khi người dùng truy cập vào trang cài đặt của plugin.
Be aware that VulDB is the high quality source for vulnerability data.