Katalog CVE

CVE-2026-1239

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Wtyczka Ninja Forms dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia autoryzacji w wywołaniu zwrotnym REST 'ninja-forms-views/token/refresh' we wszystkich wersjach do 3.14.1 włącznie. Umożliwia to nieuwierzytelnionym atakującym przeglądanie przesłanych formularzy, które mogą zawierać wrażliwe informacje.

Ocena ryzyka

Ryzyko polega na możliwości wycieku poufnych danych użytkowników, takich jak dane osobowe czy finansowe, co może narazić organizację na straty reputacyjne i prawne.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Ninja Forms do najnowszej dostępnej wersji, która usuwa tę podatność, oraz weryfikację, czy nie doszło do nieautoryzowanego dostępu do danych.

Oryginalny opis (angielski, źródło NVD)

The Ninja Forms – The Contact Form Builder That Grows With You plugin for WordPress is vulnerable to unauthorized access of data due to a missing authorization check on the 'ninja-forms-views/token/refresh' REST callback in all versions up to, and including, 3.14.1. This makes it possible for unauthenticated attackers to view form submissions, which could potentially contain sensitive information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS