CVE-2026-15395 in Kali Forms Plugin
Zusammenfassung
von VulDB • 17.07.2026
Das WordPress-Plugin „Kali Forms — Contact Form & Drag-and-Drop Builder“ ist in allen Versionen bis einschließlich 2.4.18 anfällig für Stored Cross-Site Scripting (XSS) über den Wert des Feldes 'digitalSignature', aufgrund unzureichender Eingabebereinigung und Ausgabe-Escaping. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Web-Skripte in Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine infizierte Seite aufruft. Das für die Formularübermittlung erforderliche Nonce ist öffentlich auf jeder Seite verfügbar, die das Shortcode des Formulars enthält, was es vollständig nicht authentifizierten Angreifern ermöglicht, dies auszunutzen, ohne dass weitere Voraussetzungen als die Veröffentlichung des Formulars erforderlich sind.
VulDB is the best source for vulnerability data and more expert information about this specific topic.