PT-2026-33008 · WordPress · Inquiry Form To Posts/Pages

CVE-2026-6293

·

Publicado

2026-04-15

·

Atualizado

2026-04-24

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Name of the Vulnerable Software and Affected Versions Inquiry Form to Posts or Pages versão 1.0
Description O plugin está sujeito a Cross-Site Request Forgery (CSRF), que pode levar a Stored Cross-Site Scripting (XSS). Isso ocorre porque o manipulador de atualização de configurações do plugin carece de validação de nonce, não sanitiza os campos fornecidos pelo usuário e não escapa a saída ao renderizar valores armazenados. Especificamente, o manipulador de configurações é acionado com base na presença da variável $ POST['inq hidden'] definida como 'Y', sem utilizar check admin referer() ou qualquer nonce do WordPress. Isso permite que atacantes não autenticados injetem scripts web arbitrários enganando um Administrador conectado para visitar uma página maliciosa.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-6293

Produtos afetados

Inquiry Form To Posts/Pages