CVE-2025-12536

Nome do Software Vulnerável e Versões Afetadas Plugin SureForms para WordPress em versões anteriores à 1.14.0

Descrição O plugin SureForms para WordPress está suscetível à divulgação de informações sensíveis nas versões até e incluindo a 1.13.1. Isso é resultado do parâmetro auth callback estar definido como return true durante o registro do metadado de post ' srfm email notification', o que permite acesso não autenticado aos metadados. A exploração bem-sucedida permite que atacantes não autenticados extraiam dados sensíveis, incluindo configurações de notificação por e-mail. Essas configurações frequentemente contêm endereços de dropbox de CRM/help desk fornecidos pelo fornecedor, destinatários em CC/BCC e modelos de notificação que poderiam ser explorados para injetar dados maliciosos em sistemas downstream.

Recomendações Atualize o plugin SureForms para a versão 1.14.0 ou posterior.