Katalog CVE

CVE-2026-3652

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Wtyczka ARForms dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr `value` w akcji AJAX `arf_save_incomplete_form_data` w wersjach do 7.1.3 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy administrator wyświetli stronę 'Partial Filled Form Entries' w panelu ARForms, co może prowadzić do kradzieży danych lub przejęcia konta.

Rekomendacja

Zaleca się aktualizację wtyczki ARForms do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków bezpieczeństwa, takich jak monitorowanie aktywności użytkowników.

Oryginalny opis (angielski, źródło NVD)

The ARForms plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `value` parameter of the `arf_save_incomplete_form_data` AJAX action in all versions up to, and including, 7.1.3 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts that will execute whenever an administrator views the "Partial Filled Form Entries" page in the ARForms dashboard.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS