CVE-2026-7046

Nome do Software Vulnerável e Versões Afetadas NEX-Forms – Ultimate Forms Plugin for WordPress versões anteriores a 9.1.13

Descrição A escape insuficiente de parâmetros fornecidos pelo usuário e a falta de preparação adequada em consultas SQL permitem que atacantes autenticados com nível de acesso de administrador ou superior realizem SQL Injection cego baseado em tempo. Isso ocorre por meio do parâmetro table, permitindo a adição de consultas SQL maliciosas para extrair informações sensíveis do banco de dados.

Recomendações Atualize para uma versão posterior a 9.1.12. Como medida paliativa temporária, restrinja o acesso ao parâmetro table para minimizar o risco de exploração.