CVE-2026-8692

Nome do Software Vulnerável e Versões Afetadas Vedrixa Forms – User Registration Form, Signup Form & Drag & Drop Form Builder versiões anteriores à 1.1.2

Description Existe uma falha de bypass de autorização porque o plugin não verifica adequadamente se um usuário está autorizado a realizar ações specifically. Atacantes autenticados com acesso de nível de assinante ou superior podem sobrescrever a estrutura de qualquer formulário, adicionando, removendo ou alterando campos. Isso é feito gravando dados controlados pelo atacante na tabela de banco de dados FORMS do plugin. O nonce ajax-nonce usado pelo manipulador é exposto no frontend público via wp localize script(), permitindo que qualquer usuário autenticado que visite uma página com um shortcode de formulário possa obté-lo.

Recommendations Atualize para uma versião posterior à 1.1.1.