CVE-2025-5398

Nome do Software Vulnerável e Versões Afetadas: Plugin Ninja Forms – The Contact Form Builder That Grows With You para WordPress, versões até e incluindo a 3.10.2.1

Descrição: O problema está relacionado a Cross-Site Scripting (XSS) Armazenado através do uso de um mecanismo de template, devido ao escape de saída insuficiente nos dados do usuário passados através do modelo. Isso permite que atacantes autenticados com acesso de nível de contribuidor ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página onde o script foi injetado.

Recomendações: Para versões até e incluindo a 3.10.2.1, atualize para uma versão que inclua o escape de saída necessário para prevenir a injeção de scripts web arbitrários. Como medida de contorno temporária, considere restringir o acesso de nível de contribuidor ou superior para minimizar o risco de exploração.