CVE-2026-6405

Nome do Software Vulnerável e Versões Afetadas Anomify AI – Anomaly Detection and Alerting versões anteriores a 0.3.7

Descrição O plugin está sujeito a Cross-Site Request Forgery (CSRF), que pode levar a Stored Cross-Site Scripting (XSS). O problema decorre da falta de verificação de nonce no manipulador da página de configurações e da escape de saída insuficiente no template admin options.php. Especificamente, o formulário de configurações não possui wp nonce field() e o manipulador não realiza a verificação check admin referer(), permitindo que requisições POST de origens cruzadas modifiquem as configurações do plugin. O campo da chave de API é processado usando sanitize text field(), que remove tags HTML, mas não codifica caracteres de aspas duplas. Esse valor é então renderizado em um atributo HTML via echo simples sem esc attr(), permitindo que um payload de escape de atributo de aspas duplas seja armazenado. Consequentemente, atacantes não autenticados podem injetar scripts web arbitrários enganando um administrador logado para visitar uma página maliciosa que envia uma requisição forjada, fazendo com que o script seja executado no navegador do administrador ao acessar a página de configurações.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.