CVE-2026-8172
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Wtyczka Simple Basic Contact Form dla WordPressa do wersji 20250114 nie zabezpiecza danych wejściowych dostarczonych przez użytkowników przed ich wyświetleniem w formularzu kontaktowym w przypadku błędów walidacji, co prowadzi do podatności na Reflected Cross-Site Scripting.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą wykorzystać tę podatność, aby zaatakować odwiedzających stronę poprzez spreparowany link lub przesyłanie formularzy między stronami.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, która naprawia tę podatność oraz przegląd kodu w celu zapewnienia odpowiedniego zabezpieczenia danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
The Simple Basic Contact Form WordPress plugin through 20250114 does not escape user-supplied input before reflecting it into the contact form output on validation errors, leading to a Reflected Cross-Site Scripting vulnerability that unauthenticated attackers can exploit against site visitors via a crafted link or cross-site form submission.

