CVE-2026-1239
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Wtyczka Ninja Forms dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia autoryzacji w wywołaniu zwrotnym REST 'ninja-forms-views/token/refresh' we wszystkich wersjach do 3.14.1 włącznie. Umożliwia to nieuwierzytelnionym atakującym przeglądanie przesłanych formularzy, które mogą zawierać wrażliwe informacje.
Ocena ryzyka
Ryzyko polega na możliwości wycieku poufnych danych użytkowników, takich jak dane osobowe czy finansowe, co może narazić organizację na straty reputacyjne i prawne.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Ninja Forms do najnowszej dostępnej wersji, która usuwa tę podatność, oraz weryfikację, czy nie doszło do nieautoryzowanego dostępu do danych.
Oryginalny opis (angielski, źródło NVD)
The Ninja Forms – The Contact Form Builder That Grows With You plugin for WordPress is vulnerable to unauthorized access of data due to a missing authorization check on the 'ninja-forms-views/token/refresh' REST callback in all versions up to, and including, 3.14.1. This makes it possible for unauthenticated attackers to view form submissions, which could potentially contain sensitive information.

