CVE-2026-11581
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Wtyczka Kali Forms dla WordPressa przed wersją 2.4.13 nie oczyszcza opisu pola formularza przed wyświetleniem go jako nagłówka kolumny na ekranie administratora. Użytkownicy z rolą Współautora lub wyższą mogą wstrzyknąć JavaScript, który wykona się w sesji administratora. Brak kontroli uprawnień w akcji duplikowania wpisów pozwala Współautorowi opublikować złośliwy formularz, który administrator wyświetli.
Ocena ryzyka
Atakujący z niskimi uprawnieniami może przejąć sesję administratora, wykraść dane lub rozprzestrzenić złośliwe oprogramowanie w panelu administracyjnym WordPressa.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę Kali Forms do wersji 2.4.13 lub nowszej. Ogranicz role użytkowników z dostępem do edytora formularzy.
Oryginalny opis (angielski, źródło NVD)
The Kali Forms — Contact Form & Drag-and-Drop Builder WordPress plugin before 2.4.13 does not sanitise a form field's caption before outputting it as a column header on the administrator form-entries screen, allowing users with Contributor-level access or above to store JavaScript that executes in an administrator's session. A missing capability check in the Kali Forms — Contact Form & Drag-and-Drop Builder WordPress plugin before 2.4.13's post-duplication action additionally lets the Contributor publish the malicious form so an administrator renders it.

