

Advisories

Safelayout Cute Preloader - CSS3 Wordpress Preloader - Reflected cross-site scripting (XSS)

Severity pending

Detected by

Fluid Attacks SAST Scanner

Disclosed by

Andres Roldan

Offensive Team, Fluid Attacks

Summary

Full name

Safelayout Cute Preloader - CSS3 Wordpress Preloader 2.0.96 - Reflected cross-site scripting (XSS)

Code name

skims-56

State

Private

Release date

3 ene 2025

Affected product

Safelayout Cute Preloader - CSS3 Wordpress Preloader

Affected version(s)

Version 2.0.96

Vulnerability name

Reflected cross-site scripting (XSS)

Vulnerability type

008. Reflected cross-site scripting (XSS)

Remotely exploitable

CVSS v4.0 vector string

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L/E:U

Exploit available

CVE ID(s)

CVE-2025-0766

Description

Safelayout Cute Preloader - CSS3 Wordpress Preloader 2.0.96 was found to be vulnerable. The web application dynamically generates web content without validating the source of the potentially untrusted data in myapp/inc/class-safelayout-preloader-adm in.php.

Vulnerability

Skims by Fluid Attacks discovered a Reflected cross-site scripting (XSS) in Safelayout Cute Preloader - CSS3 Wordpress Preloader 2.0.96. The following is the output of the tool:

Skims output

 293 |
 294 | // ajax handlers
 295 | public function add_preloader_meta_box_ajax_handler() {
 296 | check_ajax_referer( 'slpl_preloader_ajax' );
 297 | $key = $_POST['key'];
 298 | if ( $key == 'show' ) {
 299 | update_option( 'safelayout_preloader_options_meta', true );
 300 | } else {
 301 | update_option( 'safelayout_preloader_options_meta', false );
 302 | }
>  303 |    echo $key;
   304 |
   305 |    wp_die();
   306 |   }
   307 |
   308 |   // ajax handlers for feedback
   309 |   public function preloader_feedback_ajax_handler() {
   310 |    check_ajax_referer( 'slpl_preloader_ajax' );
   311 |    $type = sanitize_text_field( $_POST['type'] );
   312 |    $text = sanitize_text_field( $_POST['text'] );
   313 |    $apiUrl = 'https://safelayout.com/feedback/feedback.php';
       ^ Col 0

Our security policy

We have reserved the ID CVE-2025-0766 to refer to this issue from now on. Disclosure policy

System Information

Version: Safelayout Cute Preloader - CSS3 Wordpress Preloader 2.0.96

Mitigation

There is currently no patch available for this vulnerability.

Timeline



IA generativa

3 ene 2025



Vendor contacted

3 ene 2025

Inicia tu prueba gratuita de 21 días

Descubre los beneficios de nuestra solución Hacking Continuo, de la que ya disfrutan empresas de todos los tamaños.

Prueba gratis

Contactar a ventas

Inicia tu prueba gratuita de 21 días

Descubre los beneficios de nuestra solución Hacking Continuo, de la que ya disfrutan empresas de todos los tamaños.

Prueba gratis

Contactar a ventas

Inicia tu prueba gratuita de 21 días

Descubre los beneficios de nuestra solución Hacking Continuo, de la que ya disfrutan empresas de todos los tamaños.

Prueba gratis

Contactar a ventas

Solución

Planes

Recursos

Advisories

Compañía

Select Language



Contactar a ventas

Iniciar sesión

Prueba gratis

Select Language



Contactar a ventas

Prueba gratis

Solución

Planes

Recursos

Advisories

Compañía

Select Language



Contactar a ventas

Iniciar sesión

Prueba gratis

Select Language



Las soluciones de Fluid Attacks permiten a las organizaciones identificar, priorizar y remediar vulnerabilidades en su software a lo largo del SDLC. Con el apoyo de la IA, herramientas automatizadas y pentesters, Fluid Attacks acelera la mitigación de la exposición al riesgo de las empresas y fortalece su postura de ciberseguridad.