CVE-2026-4257
KrytyczneStreszczenie
Wtyczka Contact Form by Supsystic dla WordPressa jest podatna na wstrzykiwanie szablonów po stronie serwera (SSTI), co prowadzi do zdalnego wykonania kodu (RCE) we wszystkich wersjach do i włącznie 1.7.36. Problem wynika z użycia silnika szablonów Twig `Twig_Loader_String` bez odpowiedniego zabezpieczenia oraz funkcji `cfsPreFill`, która pozwala nieautoryzowanym użytkownikom na wstrzykiwanie dowolnych wyrażeń Twig do wartości pól formularza za pomocą parametrów GET.
Ocena ryzyka
Nieautoryzowani atakujący mogą wykonywać dowolne funkcje PHP i polecenia systemowe na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Wykorzystanie tej podatności może prowadzić do pełnej kompromitacji systemu.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto rozważyć ograniczenie dostępu do formularzy tylko dla autoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Contact Form by Supsystic plugin for WordPress is vulnerable to Server-Side Template Injection (SSTI) leading to Remote Code Execution (RCE) in all versions up to, and including, 1.7.36. This is due to the plugin using the Twig `Twig_Loader_String` template engine without sandboxing, combined with the `cfsPreFill` prefill functionality that allows unauthenticated users to inject arbitrary Twig expressions into form field values via GET parameters. This makes it possible for unauthenticated attackers to execute arbitrary PHP functions and OS commands on the server by leveraging Twig's `registerUndefinedFilterCallback()` method to register arbitrary PHP callbacks.

