CVE-2026-4257

Name of the Vulnerable Software and Affected Versions Plugin Contact Form by Supsystic para WordPress versões até e incluindo 1.7.36

Description O plugin Contact Form by Supsystic para WordPress é suscetível a injeção de templates do lado do servidor (SSTI), o que pode levar à execução remota de código (RCE). Isso ocorre porque o plugin utiliza o mecanismo de template Twig Twig Loader String sem sandboxing adequado. A funcionalidade cfsPreFill permite que usuários não autenticados injetem expressões Twig arbitrárias nos valores dos campos do formulário por meio de parâmetros GET. Os invasores podem explorar o método registerUndefinedFilterCallback() dentro do Twig para registrar callbacks PHP arbitrários, permitindo, em última análise, a execução de funções PHP e comandos do sistema operacional no servidor.

Recommendations Atualize o plugin Contact Form by Supsystic para uma versão mais recente que 1.7.36.