CVE-2026-15161 in Ninja Forms Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 17.

WordPress용 Ninja Forms - Excel Export 플러그인 3.3.6 이하 버전에는 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 이는 save_filter() AJAX 핸들러가 WordPress 옵션에 $_POST['filter'] 배열을 raw 상태로 update_option() 함수를 통해 저장할 때 권한 확인, nonce 검증 또는 입력 데이터 정제(sanitization) 과정을 거치지 않기 때문입니다. 또한 관리자 Excel Export 화면에서 get_filter_row() 메서드가 저장된 필터 값(field_key, condition, value)을 esc_attr() 없이 HTML 속성에 직접 연결(concatenating)하여 출력합니다. 이로 인해 구독자(subscriber) 이상의 권한을 가진 인증된 공격자가 임의의 웹 스크립트를 페이지에 삽입할 수 있으며, 사용자가 해당 주입된 페이지에 접근하면 스크립트가 실행됩니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

Wordfence

예약하다

2026. 07. 08.

모더레이션

수락

항목

VDB-379749

EPSS

0.00000

활동

낮음

출처

Do you know our Splunk app?

Download it now for free!