CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-4257

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Contact Form by Supsystic dla WordPressa jest podatna na wstrzykiwanie szablonów po stronie serwera (SSTI), co prowadzi do zdalnego wykonania kodu (RCE) we wszystkich wersjach do i włącznie 1.7.36. Problem wynika z użycia silnika szablonów Twig `Twig_Loader_String` bez odpowiedniego zabezpieczenia oraz funkcji `cfsPreFill`, która pozwala nieautoryzowanym użytkownikom na wstrzykiwanie dowolnych wyrażeń Twig do wartości pól formularza za pomocą parametrów GET.

Risk Assessment

Nieautoryzowani atakujący mogą wykonywać dowolne funkcje PHP i polecenia systemowe na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Wykorzystanie tej podatności może prowadzić do pełnej kompromitacji systemu.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto rozważyć ograniczenie dostępu do formularzy tylko dla autoryzowanych użytkowników.

Original NVD description (English source)

The Contact Form by Supsystic plugin for WordPress is vulnerable to Server-Side Template Injection (SSTI) leading to Remote Code Execution (RCE) in all versions up to, and including, 1.7.36. This is due to the plugin using the Twig `Twig_Loader_String` template engine without sandboxing, combined with the `cfsPreFill` prefill functionality that allows unauthenticated users to inject arbitrary Twig expressions into form field values via GET parameters. This makes it possible for unauthenticated attackers to execute arbitrary PHP functions and OS commands on the server by leveraging Twig's `registerUndefinedFilterCallback()` method to register arbitrary PHP callbacks.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS