CVE-2026-9187
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Wtyczka Abandoned Contact Form 7 dla WordPressa jest podatna na nieautoryzowane usuwanie dowolnych postów w wersjach do 2.2 włącznie. Problem wynika z braku weryfikacji uprawnień oraz walidacji nonce w funkcji action__remove_abandoned().
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą trwale usunąć dowolne posty, strony lub inne treści na zaatakowanej stronie, co może prowadzić do utraty danych i zakłócenia działania witryny.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów weryfikacji uprawnień.
Oryginalny opis (angielski, źródło NVD)
The Abandoned Contact Form 7 plugin for WordPress is vulnerable to unauthorized arbitrary post deletion in versions up to, and including, 2.2. This is due to a missing capability check and missing nonce validation in the action__remove_abandoned() function, which is registered to both the wp_ajax_remove_abandoned and wp_ajax_nopriv_remove_abandoned hooks. The handler takes a user-supplied recover_id parameter from $_POST and passes it directly to wp_delete_post() with the force-delete flag set to true, without verifying that the ID belongs to the plugin's own cf7af_data post type. This makes it possible for unauthenticated attackers to permanently delete arbitrary posts, pages, or other content on the affected site by sending a single admin-ajax.

