CVE-2022-2600
Auto-hyperlink URLs <= 5.4.1 - Tab Nabbing
Em resumo
O plugin Auto-hyperlink URLs não protege os links que cria, permitindo que sites para os quais você clica consigam controlar sua aba do navegador e redirecionar você para uma página de phishing. Isso acontece porque o plugin não adiciona atributos de segurança que impedem esse sequestro.
Detalhe técnico
O plugin gera links externos sem definir os atributos rel="noopener noreferrer", permitindo que sites de destino acessem o objeto window.opener e realizem ataques de tab nabbing. Um invasor pode redirecionar a aba original para uma página de phishing enquanto o usuário visualiza o site aberto, exigindo apenas o clique inicial do usuário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Auto-hyperlink URLs WordPress plugin through 5.4.1 does not set rel="noopener noreferer" on generated links, which can lead to Tab Nabbing by giving the target site access to the source tab through the window.opener DOM object.
Produtos afetados
Unknown · Auto-hyperlink URLsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →