CVE-2026-6404

Nome do Software Vulnerável e Versões Afetadas Anomify AI – Anomaly Detection and Alerting plugin for WordPress versões anteriores a 0.3.7

Description O plugin está sujeito a Stored Cross-Site Scripting, uma condição onde scripts maliciosos são armazenados permanentemente no servidor alvo. O problema ocorre porque o plugin utiliza sanitize text field() na entrada Metric Data Key antes de salvá-la com update option(), mas esta função não codifica caracteres de aspas duplas. Subsequentemente, o valor é exibido em um contexto de atributo HTML sem o uso de esc attr(). Isso permite que atacantes autenticados com nível de acesso de administrador injetem scripts web arbitrários através do parâmetro anomify api key, que são executados quando um usuário visita a página de configurações do plugin.

Recommendations Atualize o plugin para uma versão posterior a 0.3.6. Como medida paliativa temporária, restrinja o acesso de administradores à página de configurações do plugin para minimizar o risco de injeção de scripts através do parâmetro anomify api key.