kstover Ninja Forms Plugin bis 3.14.1 auf WordPress blocks/bootstrap.php admin_enqueue_scripts Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 3.43 |
Zusammenfassung
In kstover Ninja Forms Plugin bis 3.14.1 für WordPress wurde eine problematische Schwachstelle gefunden. Es geht dabei um die Funktion admin_enqueue_scripts der Datei blocks/bootstrap.php. Die Veränderung resultiert in Information Disclosure.
Die Identifikation der Schwachstelle findet als CVE-2026-1307 statt. Der Angriff kann über das Netzwerk passieren. Es steht kein Exploit zur Verfügung.
Details
Eine Schwachstelle wurde in kstover Ninja Forms Plugin bis 3.14.1 auf WordPress entdeckt. Sie wurde als problematisch eingestuft. Es geht hierbei um die Funktion admin_enqueue_scripts der Datei blocks/bootstrap.php. Durch die Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Auswirken tut sich dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
The Ninja Forms - The Contact Form Builder That Grows With You plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 3.14.1 via a callback function for the admin_enqueue_scripts action handler in blocks/bootstrap.php. This makes it possible for authenticated attackers, with Contributor-level access and above, to gain access to an authorization token to view form submissions for arbitrary forms, which could potentially contain sensitive information.Die Schwachstelle wurde durch Lucas Montes herausgegeben. Das Advisory findet sich auf wordfence.com. Die Verwundbarkeit wird seit dem 21.01.2026 mit der eindeutigen Identifikation CVE-2026-1307 gehandelt. Das Ausnutzen gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.
Ein Suchen von inurl:blocks/bootstrap.php lässt dank Google Hacking potentiell verwundbare Systeme finden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.3
VulDB Base Score: 4.3
VulDB Temp Score: 4.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 6.5
CNA Vector (Wordfence): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
Google Hack: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
21.01.2026 CVE zugewiesen28.03.2026 Advisory veröffentlicht
28.03.2026 VulDB Eintrag erstellt
28.03.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: wordfence.comPerson: Lucas Montes
Status: Nicht definiert
CVE: CVE-2026-1307 (🔒)
GCVE (CVE): GCVE-0-2026-1307
GCVE (VulDB): GCVE-100-354071
Eintrag
Erstellt: 28.03.2026 10:16Anpassungen: 28.03.2026 10:16 (66)
Komplett: 🔍
Cache ID: 216:6AB:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.