CVE-2026-3584
KrytyczneStreszczenie
Wtyczka Kali Forms dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.4.9 poprzez funkcję 'form_process'. Problem wynika z funkcji 'prepare_post_data', która bezpośrednio mapuje klucze dostarczone przez użytkownika do wewnętrznego magazynu zastępczego, co umożliwia atakującym wykonanie kodu na serwerze.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą wykorzystać tę podatność do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla integralności i bezpieczeństwa serwera oraz danych użytkowników.
Rekomendacja
Zaleca się aktualizację wtyczki Kali Forms do najnowszej wersji, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa serwera w celu zminimalizowania ryzyka.
Oryginalny opis (angielski, źródło NVD)
The Kali Forms plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 2.4.9 via the 'form_process' function. This is due to the 'prepare_post_data' function mapping user-supplied keys directly into internal placeholder storage, combined with the use of 'call_user_func' on these placeholder values. This makes it possible for unauthenticated attackers to execute code on the server.

