CVE-2026-15161 in Ninja Forms Plugin
Resumen
por VulDB • 2026-07-17
El plugin Ninja Forms - Excel Export para WordPress presenta una vulnerabilidad de Stored Cross-Site Scripting (XSS) en las versiones 3.3.6 y anteriores. Esto se debe a que el manejador AJAX save_filter() almacena la matriz $_POST['filter'] sin procesar como opción de WordPress mediante update_option(), sin realizar ninguna comprobación de capacidades, verificación de nonce ni sanitización de entradas. Además, el método get_filter_row() en la pantalla de administración de Excel Export concatena directamente los valores del filtro almacenados (field_key, condition, value) dentro de atributos HTML sin utilizar esc_attr(). Esto permite que atacantes autenticados con acceso a nivel de suscriptor o superior inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página comprometida.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.