Escanear grátis

Esta página ainda não foi traduzida para o seu idioma. Exibindo conteúdo em inglês enquanto trabalhamos nisso.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2020-37225CVSS 6.4

CVE-2020-37225: XSS in Powie's WHOIS Domain Check

Plataforma

wordpress

Componente

whois-domain-check

Ver no NVD
Salvar
Traduzindo para o seu idioma…

CVE-2020-37225 describes a persistent cross-site scripting (XSS) vulnerability found in Powie's WHOIS Domain Check versions 0.9.31–0.9.31. This vulnerability allows authenticated attackers to inject arbitrary JavaScript code, potentially leading to account compromise and privilege escalation. The vulnerability stems from unsanitized input fields within the plugin's configuration page, pwhois_settings.php. While a fix is not yet available, mitigation strategies can reduce risk.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataquetraduzindo…

An attacker exploiting this XSS vulnerability can inject malicious JavaScript code into the Powie's WHOIS Domain Check plugin's settings. Because the vulnerability requires authentication, the attacker needs valid credentials to access the plugin's configuration page (pwhois_settings.php). Successful exploitation allows the attacker to execute JavaScript in the context of the administrator user, potentially stealing session cookies, redirecting users to malicious websites, or modifying plugin settings. The impact is significant as it can lead to complete control over the WordPress site if the administrator's session is compromised. This vulnerability shares similarities with other XSS vulnerabilities where attackers leverage unsanitized input to inject malicious scripts.

Contexto de Exploraçãotraduzindo…

CVE-2020-37225 was published on May 13, 2026. Currently, there is no indication of active exploitation campaigns targeting this vulnerability. No public Proof-of-Concept (POC) exploits have been widely reported. The vulnerability's severity is rated as medium (CVSS 6.4), suggesting a moderate probability of exploitation if a suitable exploit is developed and widely distributed. It is not listed on KEV or EPSS.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

CISA SSVC

Exploraçãopoc
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N6.4MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeChangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Alterado — o ataque pode pivotar para além do componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentewhois-domain-check
FornecedorPowie
Versão mínima0.9.31
Versão máxima0.9.31

Classificação de Fraqueza (CWE)

CWE-79

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativastraduzindo…

Since a patched version of Powie's WHOIS Domain Check is not yet available, immediate mitigation is crucial. The primary workaround is to restrict access to the pwhois_settings.php configuration page. Implement role-based access control within WordPress to limit which users can access this page. Consider using a Web Application Firewall (WAF) with XSS filtering rules to block suspicious requests targeting the plugin's settings. Regularly review and audit plugin settings for any unusual or unexpected changes. Monitor WordPress logs for any signs of attempted XSS exploitation, such as unusual JavaScript execution patterns. Verify access controls after implementing these mitigations by attempting to access the configuration page with a non-administrator user.

Como corrigirtraduzindo…

Actualice el plugin Powie's WHOIS Domain Check a la última versión disponible para mitigar la vulnerabilidad de XSS.  Verifique la página de soporte del plugin o el repositorio de WordPress para obtener la versión más reciente y las instrucciones de actualización.  Además, revise y sanee cualquier entrada de usuario en la configuración del plugin para prevenir futuras vulnerabilidades.

Perguntas frequentestraduzindo…

What is CVE-2020-37225 — XSS in Powie's WHOIS Domain Check?

CVE-2020-37225 is a cross-site scripting (XSS) vulnerability affecting Powie's WHOIS Domain Check versions 0.9.31–0.9.31. It allows authenticated attackers to inject JavaScript code via plugin settings, potentially compromising administrator accounts.

Am I affected by CVE-2020-37225 in Powie's WHOIS Domain Check?

You are affected if your WordPress website uses Powie's WHOIS Domain Check version 0.9.31. Check your plugin versions and implement mitigation strategies until a patch is available.

How do I fix CVE-2020-37225 in Powie's WHOIS Domain Check?

A patch is not yet available. Mitigate by restricting access to the plugin's configuration page, using a WAF, and monitoring logs for suspicious activity.

Is CVE-2020-37225 being actively exploited?

There is currently no evidence of active exploitation campaigns targeting CVE-2020-37225, but the vulnerability remains a potential risk.

Where can I find the official Powie's WHOIS Domain Check advisory for CVE-2020-37225?

Check the Powie's WHOIS Domain Check website and WordPress plugin repository for updates and advisories related to CVE-2020-37225.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis
ao vivoverificação gratuita

Escaneie seu projeto WordPress agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...