PT-2026-33008 · WordPress · Inquiry Form To Posts/Pages
CVE-2026-6293
·
Publicado
2026-04-15
·
Atualizado
2026-04-24
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Name of the Vulnerable Software and Affected Versions
Inquiry Form to Posts or Pages versão 1.0
Description
O plugin está sujeito a Cross-Site Request Forgery (CSRF), que pode levar a Stored Cross-Site Scripting (XSS). Isso ocorre porque o manipulador de atualização de configurações do plugin carece de validação de nonce, não sanitiza os campos fornecidos pelo usuário e não escapa a saída ao renderizar valores armazenados. Especificamente, o manipulador de configurações é acionado com base na presença da variável
$ POST['inq hidden'] definida como 'Y', sem utilizar check admin referer() ou qualquer nonce do WordPress. Isso permite que atacantes não autenticados injetem scripts web arbitrários enganando um Administrador conectado para visitar uma página maliciosa.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Inquiry Form To Posts/Pages