Katalog CVE

CVE-2026-9187

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Wtyczka Abandoned Contact Form 7 dla WordPressa jest podatna na nieautoryzowane usuwanie dowolnych postów w wersjach do 2.2 włącznie. Problem wynika z braku weryfikacji uprawnień oraz walidacji nonce w funkcji action__remove_abandoned().

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą trwale usunąć dowolne posty, strony lub inne treści na zaatakowanej stronie, co może prowadzić do utraty danych i zakłócenia działania witryny.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów weryfikacji uprawnień.

Oryginalny opis (angielski, źródło NVD)

The Abandoned Contact Form 7 plugin for WordPress is vulnerable to unauthorized arbitrary post deletion in versions up to, and including, 2.2. This is due to a missing capability check and missing nonce validation in the action__remove_abandoned() function, which is registered to both the wp_ajax_remove_abandoned and wp_ajax_nopriv_remove_abandoned hooks. The handler takes a user-supplied recover_id parameter from $_POST and passes it directly to wp_delete_post() with the force-delete flag set to true, without verifying that the ID belongs to the plugin's own cf7af_data post type. This makes it possible for unauthenticated attackers to permanently delete arbitrary posts, pages, or other content on the affected site by sending a single admin-ajax.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS