CVE-2026-15161 in Ninja Forms Pluginالمعلومات

الملخص

بحسب VulDB • 17/07/2026

يحتوي إضافة Ninja Forms - Excel Export لـ WordPress على ثغرة تخزين برمجيات نصية عبر المواقع (Stored Cross-Site Scripting) في الإصدارات حتى 3.3.6 وشاملة لها. ويعود ذلك إلى قيام معالج AJAX المسمى save_filter() بتخزين مصفوفة $_POST['filter'] الخام كخيار لـ WordPress باستخدام update_option() دون أي فحص للصلاحيات، أو التحقق من nonce، أو تنقية المدخلات، مقترنًا بطريقة get_filter_row() الموجودة في شاشة تصدير Excel للإدارة التي تقوم بدمج قيم الفلتر المخزنة (field_key, condition, value) مباشرةً داخل سمات HTML دون استخدام esc_attr(). وهذا يتيح للمهاجمين المصادق عليهم الذين يمتلكون وصولاً بمستوى المشترك أو أعلى حقن نصوص برمجية ويب تعسفية في الصفحات، والتي ستُنفَّذ كلما قام مستخدم بالوصول إلى صفحة مُحقونة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

08/07/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379749

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Do you know our Splunk app?

Download it now for free!