CVE-2026-5063

Nome do Software Vulnerável e Versões Afetadas NEX-Forms – Ultimate Forms Plugin for WordPress versões anteriores a 9.1.12

Descrição A sanitização de entrada e a escape de saída insuficientes na função submit nex form() permitem que atacantes não autenticados injetem scripts web arbitrários por meio de nomes de parâmetros POST. Esses scripts são executados sempre que um usuário acessa uma página afetada. Trata-se de um problema de Cross-Site Scripting Armazenado, onde scripts maliciosos são armazenados permanentemente no servidor alvo.

Recomendações Atualize o plugin para uma versão posterior a 9.1.11. Como medida paliativa temporária, restrinja o acesso à função submit nex form() para minimizar o risco de exploração.