Katalog CVE

CVE-2026-12094

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

Wtyczka Advanced Contact Form 7 - Compact DB dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku weryfikacji uprawnień w funkcji cf7cdb_ajax_delete_user() w wersjach do 1.0.0 włącznie. Funkcja ta nie sprawdza nonce, uprawnień ani własności przed usunięciem danych z tabeli wp_cf7cdb_data.

Ocena ryzyka

Atakujący mogą usunąć dowolne wpisy formularzy kontaktowych przechowywane przez wtyczkę, co prowadzi do utraty danych i potencjalnych problemów z integralnością informacji w organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak weryfikacja nonce i sprawdzanie uprawnień.

Oryginalny opis (angielski, źródło NVD)

The Advanced Contact Form 7 - Compact DB plugin for WordPress is vulnerable to unauthorized deletion of data due to a missing capability check on the cf7cdb_ajax_delete_user() function in versions up to, and including, 1.0.0. The handler is registered against both `wp_ajax_cf7cdb_delete` and `wp_ajax_nopriv_cf7cdb_delete`, and it performs no nonce verification, no capability check, and no ownership check before invoking `$wpdb->delete()` against the `wp_cf7cdb_data` table with an attacker-supplied integer ID. This makes it possible for unauthenticated attackers to delete arbitrary contact form submission entries stored by the plugin by iterating sequential primary-key IDs.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS