CVE-2026-7330

Nome do Software Vulnerável e Versões Afetadas Auto Affiliate Links versões anteriores a 6.8.9

Descrição O plugin está sujeito a Cross-Site Scripting (XSS) Armazenado devido à sanitização insuficiente de entrada do parâmetro POST url na função aal url stats save action() e à ausência de escape de saída em aal display clicks(). O valor armazenado é ecoado diretamente no atributo href e no texto interno de um elemento âncora sem as funções de sanitização adequadas. Isso permite que atacantes não autenticados injetem scripts web arbitrários na página de estatísticas do administrador através de um endpoint AJAX não autenticado registrado via hook wp ajax nopriv e um nonce exposto publicamente. Esses scripts são executados no navegador de um administrador quando a página é visitada.

Recomendações Atualize o plugin para uma versão posterior a 6.8.8. Como medida paliativa temporária, restrinja o acesso à página de estatísticas do administrador ou à função aal url stats save action() até que a atualização seja aplicada.