PT-2026-57421 · WordPress · Nex-Forms
Michael Iden
·
Publicado
2026-07-11
·
Atualizado
2026-07-11
·
CVE-2026-9017
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
NEX-Forms – Ultimate Forms Plugin for WordPress versões anteriores a 9.2.3
Descrição
Existe uma falha de bypass de autorização porque o plugin não verifica adequadamente se um usuário está autorizado a realizar ações específicas. Isso permite que atacantes não autenticados sobrescrevam os campos
saved admin email, saved user email e saved user email address de entradas de formulário pertencentes a outros usuários. Consequentemente, o site pode ser manipulado para enviar conteúdo de e-mail controlado pelo atacante para endereços de destinatários escolhidos pelo atacante.Recomendações
Atualize o NEX-Forms – Ultimate Forms Plugin for WordPress para a versão 9.2.3 ou posterior.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nex-Forms