Katalog CVE

CVE-2026-12404

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie zawiera podatność na pominięcie autoryzacji. Niezalogowani atakujący mogą wyliczyć sekwencyjne identyfikatory raportów i pobrać pełne dane przesłanych formularzy, w tym nazwiska, adresy e-mail, numery telefonów, adresy pocztowe, dane płatności i ścieżki przesłanych plików.

Ocena ryzyka

Ryzyko polega na możliwości masowego wycieku wrażliwych danych osobowych i finansowych użytkowników, co może prowadzić do naruszenia przepisów o ochronie danych (RODO) oraz utraty zaufania klientów.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę NEX-Forms do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz wtyczkę do czasu wdrożenia poprawki.

Oryginalny opis (angielski, źródło NVD)

The NEX-Forms – Ultimate Forms Plugin for WordPress plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 9.2.2. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to enumerate sequential report IDs and download complete form submission data — including names, email addresses, phone numbers, postal addresses, payment details, and uploaded file paths — for any saved report on the site.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS