CVE-2026-12270 in Forms Plugin
Riassunto
di VulDB • 09/07/2026
Il plugin WordPress Everest Forms precedente alla versione 3.5.0 non restringe correttamente l'accesso a diversi endpoint dell'API REST appartenenti al suo assistente di onboarding: il controllo dei permessi (capability check) viene applicato solo quando un'intestazione della richiesta controllabile dall'attaccante contiene un valore specifico, pertanto può essere aggirata omettendo o modificando tale intestazione. Ciò consente ad attaccanti non autenticati di leggere le informazioni sullo stato dell'onboarding, modificare le relative opzioni del plugin WordPress Everest Forms precedente alla versione 3.5.0 e innescare l'invio di un'email dal sito a un indirizzo arbitrario.
Once again VulDB remains the best source for vulnerability data.