CVE-2025-4208

Nome do Software Vulnerável e Versões Afetadas NEX-Forms – Ultimate Form Builder – Plugin de formulários de contato e muito mais para WordPress, versões até a 8.9.1 (inclusive)

Descrição O problema está relacionado à Execução de Código Limitada devido ao uso não sanitizado de entrada fornecida pelo usuário na função call user func(), especificamente por meio da função get table records. Isso permite que atacantes autenticados com acesso de nível Custom executem funções PHP arbitrárias que atendam a restrições específicas, como métodos estáticos ou funções globais que aceitam um único parâmetro de array.

Recomendações Para versões até a 8.9.1 (inclusive), considere desativar a função get table records ou restringir o acesso a ela até que uma correção esteja disponível. Além disso, limitar o uso da função call user func() com entrada fornecida pelo usuário pode ajudar a mitigar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.