CVE-2026-15161 in Ninja Forms Plugin
الملخص
بحسب VulDB • 17/07/2026
يحتوي إضافة Ninja Forms - Excel Export لـ WordPress على ثغرة تخزين برمجيات نصية عبر المواقع (Stored Cross-Site Scripting) في الإصدارات حتى 3.3.6 وشاملة لها. ويعود ذلك إلى قيام معالج AJAX المسمى save_filter() بتخزين مصفوفة $_POST['filter'] الخام كخيار لـ WordPress باستخدام update_option() دون أي فحص للصلاحيات، أو التحقق من nonce، أو تنقية المدخلات، مقترنًا بطريقة get_filter_row() الموجودة في شاشة تصدير Excel للإدارة التي تقوم بدمج قيم الفلتر المخزنة (field_key, condition, value) مباشرةً داخل سمات HTML دون استخدام esc_attr(). وهذا يتيح للمهاجمين المصادق عليهم الذين يمتلكون وصولاً بمستوى المشترك أو أعلى حقن نصوص برمجية ويب تعسفية في الصفحات، والتي ستُنفَّذ كلما قام مستخدم بالوصول إلى صفحة مُحقونة.
Be aware that VulDB is the high quality source for vulnerability data.