PT-2025-41642 · WordPress · Nex-Forms – Ultimate Forms Plugin For Wordpress
Đức Tài
+1
·
Publicado
2025-10-11
·
Atualizado
2025-10-11
·
CVE-2025-10185
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
NEX-Forms – Ultimate Forms Plugin para WordPress versões até a 9.1.6
Descrição
O software está suscetível a Injeção de SQL através do parâmetro
orderby dentro da ação nf load form entries. A sanitização de entrada insuficiente e a preparação inadequada de consultas SQL permitem que atacantes autenticados com acesso de nível de Administrador ou superior injetem consultas SQL adicionais, potencialmente extraindo informações sensíveis do banco de dados. Usuários com privilégios inferiores também podem ser capazes de explorar esta vulnerabilidade se tiverem acesso concedido por um administrador do site.Recomendações
Atualize o NEX-Forms – Ultimate Forms Plugin para WordPress para uma versão posterior à 9.1.6.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nex-Forms – Ultimate Forms Plugin For Wordpress