Katalog CVE

CVE-2026-7052

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka HT Contact Form – Drag & Drop Form Builder dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'file_upload' we wszystkich wersjach do 2.8.2 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony. Wymaga to włączenia ustawienia 'Store Submissions', co pozwala na przechowywanie niesanitizowanych wartości w bazie danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wyłączenie opcji 'Store Submissions', aby zminimalizować ryzyko ataków XSS.

Oryginalny opis (angielski, źródło NVD)

The HT Contact Form – Drag & Drop Form Builder for WordPress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'file_upload' parameter in all versions up to, and including, 2.8.2 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. Exploitation requires the 'Store Submissions' setting to be enabled, as this controls whether unsanitized field values are persisted to the database and subsequently rendered via dangerouslySetInnerHTML in the admin entry viewer.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS