CVE-2026-12404
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie zawiera podatność na pominięcie autoryzacji. Niezalogowani atakujący mogą wyliczyć sekwencyjne identyfikatory raportów i pobrać pełne dane przesłanych formularzy, w tym nazwiska, adresy e-mail, numery telefonów, adresy pocztowe, dane płatności i ścieżki przesłanych plików.
Ocena ryzyka
Ryzyko polega na możliwości masowego wycieku wrażliwych danych osobowych i finansowych użytkowników, co może prowadzić do naruszenia przepisów o ochronie danych (RODO) oraz utraty zaufania klientów.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę NEX-Forms do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz wtyczkę do czasu wdrożenia poprawki.
Oryginalny opis (angielski, źródło NVD)
The NEX-Forms – Ultimate Forms Plugin for WordPress plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 9.2.2. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to enumerate sequential report IDs and download complete form submission data — including names, email addresses, phone numbers, postal addresses, payment details, and uploaded file paths — for any saved report on the site.

