CVE-2025-11924

Nome do Software Vulnerável e Versões Afetadas Ninja Forms – O Construtor de Formulários de Contato Que Cresce Com Você, versões até e incluindo a 3.13.2

Descrição O plugin Ninja Forms para WordPress está suscetível a um problema de Referência Insegura a Objetos Diretos. O plugin não verifica adequadamente a autorização do usuário antes que os endpoints REST ninja-forms-views retornem metadados do formulário e conteúdo de submissão. Isso permite que atacantes não autenticados leiam definições de formulário arbitrárias e registros de submissão se conseguirem obter um token bearer vazado e carregar uma página contendo o bloco Tabela de Submissões. Uma correção lançada na versão 3.13.1 foi considerada ineficaz, pois introduziu um endpoint da API REST que permitia a criação de tokens bearer válidos para IDs de formulário arbitrários.

Recomendações Versões anteriores à 3.13.1 são vulneráveis. As versões 3.13.1 e 3.13.2 são vulneráveis. Restrinja o acesso aos endpoints da API REST ninja-forms-views. Monitore tokens bearer quanto a atividades suspeitas.