PT-2026-20587 · WordPress · Tablesome Table – Contact Form Db
Kenneth Dunn
·
Publicado
2026-02-19
·
Atualizado
2026-04-11
·
CVE-2025-12845
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Tablesome Table – Contact Form DB plugin para WordPress versões 0.5.4 a 1.2.1
Descrição
O plugin Tablesome Table – Contact Form DB para WordPress, nas versões 0.5.4 a 1.2.1, apresenta uma falha em que a ausência de verificação de capacidade na função
get table data() permite que usuários autenticados com nível de acesso de Subscriber ou superior recuperem dados do plugin, incluindo logs de e-mail. Esse acesso não autorizado pode ser explorado para elevar privilégios e, potencialmente, acionar uma redefinição de senha para obter a chave de redefinição.Recomendações
As versões 0.5.4 a 1.2.1 devem ser atualizadas para uma versão com verificação de capacidade implementada na função
get table data().Correção
LPE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tablesome Table – Contact Form Db