PT-2026-54618 · WordPress · Nex-Forms

Anthony Cihan

+1

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-12142

CVSS v3.1

7.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas NEX-Forms – Ultimate Forms Plugin for WordPress versões anteriores a 9.2.3
Descrição A sanitização insuficiente de entrada e a falta de escape de saída permitem que atacantes não autenticados realizem Stored Cross-Site Scripting. Isso ocorre por meio do parâmetro de array name[], permitindo a injeção de scripts web arbitrários em páginas que são executados quando acessados por um usuário. A filtragem de saída wp kses() é ineficaz porque a função NEXForms allowed tags() permite explicitamente <script>, <iframe src/srcdoc> e manipuladores de eventos JavaScript, como onClick, onBlur e onChange, em sua lista de permissões.
Recomendações Atualize o NEX-Forms – Ultimate Forms Plugin for WordPress para a versão 9.2.3 ou posterior.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12142

Produtos afetados

Nex-Forms