CVE-2026-15161 in Ninja Forms Plugininformación

Resumen

por VulDB • 2026-07-17

El plugin Ninja Forms - Excel Export para WordPress presenta una vulnerabilidad de Stored Cross-Site Scripting (XSS) en las versiones 3.3.6 y anteriores. Esto se debe a que el manejador AJAX save_filter() almacena la matriz $_POST['filter'] sin procesar como opción de WordPress mediante update_option(), sin realizar ninguna comprobación de capacidades, verificación de nonce ni sanitización de entradas. Además, el método get_filter_row() en la pantalla de administración de Excel Export concatena directamente los valores del filtro almacenados (field_key, condition, value) dentro de atributos HTML sin utilizar esc_attr(). Esto permite que atacantes autenticados con acceso a nivel de suscriptor o superior inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página comprometida.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Wordfence

Reservar

2026-07-08

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379749

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!