CVE-2026-15161 in Ninja Forms Plugin情報

要約

〜によって VulDB • 2026年07月17日

WordPress用プラグイン「Ninja Forms - Excel Export」には、バージョン3.3.6以前に格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。これは、save_filter() AJAXハンドラーが、権限チェック、nonce検証、入力サニタイズを一切行わずに、生の$_POST['filter']配列をupdate_option()経由でWordPressオプションとして保存することに起因します。さらに、管理画面のExcel Exportスクリーンにあるget_filter_row()メソッドは、保存されたフィルタ値(field_key, condition, value)をesc_attr()関数を用いずに直接HTML属性に連結するため、サブスクリバーレベル以上のアクセス権を持つ攻撃者が任意のWebスクリプトをページに注入し、ユーザーがそのページにアクセスした際に実行させることが可能になります。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

Wordfence

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-379749

EPSS

0.00156

アクティビティ

低い

セクター

Hostingprovider

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!