CVE-2026-15161 in Ninja Forms Plugininformazioni

Riassunto

di VulDB • 17/07/2026

Il plugin Ninja Forms - Excel Export per WordPress è vulnerabile a Stored Cross-Site Scripting nelle versioni fino alla 3.3.6 inclusa. Ciò è dovuto al gestore AJAX save_filter() che memorizza l'array grezzo $_POST['filter'] in un'opzione di WordPress tramite update_option(), senza alcuna verifica delle capacità (capability check), validazione del nonce o sanitizzazione dell'input, combinato con il metodo get_filter_row() nella schermata admin Excel Export che concatena i valori dei filtri memorizzati (field_key, condition, value) direttamente negli attributi HTML senza utilizzare esc_attr(). Ciò consente agli attaccanti autenticati, con accesso a livello di subscriber e superiore, di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede a una pagina infetta.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Wordfence

Prenotare

08/07/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!