Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2020-37225CVSS 6.4

CVE-2020-37225: XSS in Powie's WHOIS Domain Check

Plattform

wordpress

Komponente

whois-domain-check

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2020-37225 describes a persistent cross-site scripting (XSS) vulnerability found in Powie's WHOIS Domain Check versions 0.9.31–0.9.31. This vulnerability allows authenticated attackers to inject arbitrary JavaScript code, potentially leading to account compromise and privilege escalation. The vulnerability stems from unsanitized input fields within the plugin's configuration page, pwhois_settings.php. While a fix is not yet available, mitigation strategies can reduce risk.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarienwird übersetzt…

An attacker exploiting this XSS vulnerability can inject malicious JavaScript code into the Powie's WHOIS Domain Check plugin's settings. Because the vulnerability requires authentication, the attacker needs valid credentials to access the plugin's configuration page (pwhois_settings.php). Successful exploitation allows the attacker to execute JavaScript in the context of the administrator user, potentially stealing session cookies, redirecting users to malicious websites, or modifying plugin settings. The impact is significant as it can lead to complete control over the WordPress site if the administrator's session is compromised. This vulnerability shares similarities with other XSS vulnerabilities where attackers leverage unsanitized input to inject malicious scripts.

Ausnutzungskontextwird übersetzt…

CVE-2020-37225 was published on May 13, 2026. Currently, there is no indication of active exploitation campaigns targeting this vulnerability. No public Proof-of-Concept (POC) exploits have been widely reported. The vulnerability's severity is rated as medium (CVSS 6.4), suggesting a moderate probability of exploitation if a suitable exploit is developed and widely distributed. It is not listed on KEV or EPSS.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CISA SSVC

Ausnutzungpoc
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N6.4MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentewhois-domain-check
HerstellerPowie
Mindestversion0.9.31
Höchstversion0.9.31

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workaroundswird übersetzt…

Since a patched version of Powie's WHOIS Domain Check is not yet available, immediate mitigation is crucial. The primary workaround is to restrict access to the pwhois_settings.php configuration page. Implement role-based access control within WordPress to limit which users can access this page. Consider using a Web Application Firewall (WAF) with XSS filtering rules to block suspicious requests targeting the plugin's settings. Regularly review and audit plugin settings for any unusual or unexpected changes. Monitor WordPress logs for any signs of attempted XSS exploitation, such as unusual JavaScript execution patterns. Verify access controls after implementing these mitigations by attempting to access the configuration page with a non-administrator user.

So behebenwird übersetzt…

Actualice el plugin Powie's WHOIS Domain Check a la última versión disponible para mitigar la vulnerabilidad de XSS.  Verifique la página de soporte del plugin o el repositorio de WordPress para obtener la versión más reciente y las instrucciones de actualización.  Además, revise y sanee cualquier entrada de usuario en la configuración del plugin para prevenir futuras vulnerabilidades.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2020-37225 — XSS in Powie's WHOIS Domain Check?

CVE-2020-37225 is a cross-site scripting (XSS) vulnerability affecting Powie's WHOIS Domain Check versions 0.9.31–0.9.31. It allows authenticated attackers to inject JavaScript code via plugin settings, potentially compromising administrator accounts.

Am I affected by CVE-2020-37225 in Powie's WHOIS Domain Check?

You are affected if your WordPress website uses Powie's WHOIS Domain Check version 0.9.31. Check your plugin versions and implement mitigation strategies until a patch is available.

How do I fix CVE-2020-37225 in Powie's WHOIS Domain Check?

A patch is not yet available. Mitigate by restricting access to the plugin's configuration page, using a WAF, and monitoring logs for suspicious activity.

Is CVE-2020-37225 being actively exploited?

There is currently no evidence of active exploitation campaigns targeting CVE-2020-37225, but the vulnerability remains a potential risk.

Where can I find the official Powie's WHOIS Domain Check advisory for CVE-2020-37225?

Check the Powie's WHOIS Domain Check website and WordPress plugin repository for updates and advisories related to CVE-2020-37225.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...