CVE-2022-2600
Auto-hyperlink URLs <= 5.4.1 - Tab Nabbing
En resumen
El plugin Auto-hyperlink URLs no protege los enlaces que crea, permitiendo que los sitios a los que haces clic logren controlar tu pestaña del navegador y redirigirte a una página de phishing. Esto ocurre porque el plugin no añade atributos de seguridad que impidan este secuestro.
Detalle técnico
El plugin genera enlaces externos sin establecer los atributos rel="noopener noreferrer", permitiendo que los sitios de destino accedan al objeto window.opener y realicen ataques de tab nabbing. Un atacante puede redirigir la pestaña original a una página de phishing mientras el usuario visualiza el sitio abierto, requiriendo solo el clic inicial del usuario.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Auto-hyperlink URLs WordPress plugin through 5.4.1 does not set rel="noopener noreferer" on generated links, which can lead to Tab Nabbing by giving the target site access to the source tab through the window.opener DOM object.
Productos afectados
Unknown · Auto-hyperlink URLs¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →