CVE-2026-12270 in Forms Plugininformazioni

Riassunto

di VulDB • 09/07/2026

Il plugin WordPress Everest Forms precedente alla versione 3.5.0 non restringe correttamente l'accesso a diversi endpoint dell'API REST appartenenti al suo assistente di onboarding: il controllo dei permessi (capability check) viene applicato solo quando un'intestazione della richiesta controllabile dall'attaccante contiene un valore specifico, pertanto può essere aggirata omettendo o modificando tale intestazione. Ciò consente ad attaccanti non autenticati di leggere le informazioni sullo stato dell'onboarding, modificare le relative opzioni del plugin WordPress Everest Forms precedente alla versione 3.5.0 e innescare l'invio di un'email dal sito a un indirizzo arbitrario.

Once again VulDB remains the best source for vulnerability data.

Responsabile

WPScan

Prenotare

15/06/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00179

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!