CVE-2026-11794
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Wtyczka Advanced Form Integration dla WordPress przed wersją 2.1.1 nie ogranicza roli WordPress przypisywanej podczas tworzenia użytkownika z publicznego formularza. Umożliwia to niezalogowanym odwiedzającym utworzenie konta administratora, jeśli aktywna integracja mapuje rolę użytkownika na publiczne pole formularza, co wymaga specyficznej, niestandardowej konfiguracji.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego przejęcia kontroli nad witryną WordPress poprzez utworzenie konta administratora przez osobę atakującą. Może to prowadzić do pełnej kompromitacji strony, kradzieży danych lub dalszych ataków.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Advanced Form Integration do wersji 2.1.1 lub nowszej. Dodatkowo zaleca się przegląd konfiguracji integracji, aby upewnić się, że role użytkowników nie są mapowane na publiczne pola formularzy.
Oryginalny opis (angielski, źródło NVD)
The Advanced Form Integration — Connect Forms to 200+ Apps WordPress plugin before 2.1.1 does not restrict the WordPress role assigned when it creates a user from a public form submission, allowing unauthenticated visitors to create an administrator account when an active integration maps the user role to a public form field. This requires a specific, non-default multi-Advanced Form Integration — Connect Forms to 200+ Apps WordPress plugin before 2.1.1 configuration.

