PT-2026-54618 · WordPress · Nex-Forms
Anthony Cihan
+1
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-12142
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
NEX-Forms – Ultimate Forms Plugin for WordPress versões anteriores a 9.2.3
Descrição
A sanitização insuficiente de entrada e a falta de escape de saída permitem que atacantes não autenticados realizem Stored Cross-Site Scripting. Isso ocorre por meio do parâmetro de array
name[], permitindo a injeção de scripts web arbitrários em páginas que são executados quando acessados por um usuário. A filtragem de saída wp kses() é ineficaz porque a função NEXForms allowed tags() permite explicitamente <script>, <iframe src/srcdoc> e manipuladores de eventos JavaScript, como onClick, onBlur e onChange, em sua lista de permissões.Recomendações
Atualize o NEX-Forms – Ultimate Forms Plugin for WordPress para a versão 9.2.3 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nex-Forms