CVE-2026-5192

Nome do Software Vulnerável e Versões Afetadas Forminator Forms – Contact Form, Payment Form & Custom Form Builder versões anteriores a 1.52.2

Descrição Um problema de Path Traversal existe no plugin Forminator Forms para WordPress. Atacantes não autenticados podem ler arquivos arbitrários no servidor, potencialmente expondo informações sensíveis, ao manipular o parâmetro upload-1[file][file path]. Esta exploração é possível se um formulário publicamente acessível possuir um campo de Upload de Arquivo com o recurso Save and Continue ativado nas configurações de Comportamento, e a notificação de e-mail correspondente estiver configurada para anexar arquivos enviados.

Recomendações Atualize o plugin para uma versão posterior a 1.52.1. Como medida de mitigação temporária, desative o recurso Save and Continue nas configurações de Comportamento de formulários que contenham campos de Upload de Arquivo ou desative o anexo de arquivos enviados nas Notificações de E-mail.