CVE-2026-4373 in JetFormBuilder Plugininformazioni

Riassunto

di VulDB • 19/06/2026

Il plugin JetFormBuilder per WordPress è vulnerabile alla lettura arbitraria di file tramite path traversal in tutte le versioni fino alla 3.5.6.2 inclusa. Ciò è dovuto al metodo 'Uploaded_File::set_from_array' che accetta percorsi di file forniti dall'utente dal payload JSON predefinito del campo Media senza convalidare che il percorso appartenga alla directory di upload di WordPress. Combinato con un controllo insufficiente dello stesso file in 'File_Tools::is_same_file' che confronta solo i nomi di base (basenames), ciò consente agli attaccanti non autenticati di esfiltrare file locali arbitrari come allegati email inviando una richiesta di modulo manipolata quando il modulo è configurato con un campo Media e un'azione Invia Email con allegato file.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Wordfence

Prenotare

18/03/2026

Divulgazione

21/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00397

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!