CVE-2026-15161 in Ninja Forms PluginИнформация

Сводка

по VulDB • 18.07.2026

В плагине Ninja Forms - Excel Export для WordPress уязвимость типа Stored Cross-Site Scripting (XSS) присутствует в версиях вплоть до 3.3.6 включительно. Это обусловлено тем, что обработчик AJAX save_filter() сохраняет необработанный массив $_POST['filter'] в опцию WordPress через функцию update_option() без проверки прав доступа, верификации nonce или санитизации входных данных; кроме того, метод get_filter_row(), используемый на экране административной панели Excel Export, напрямую конкатенирует сохранённые значения фильтров (field_key, condition, value) в HTML-атрибуты без использования функции esc_attr(). Это позволяет атакующим с уровнем доступа «подписчик» и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться при каждом посещении таких страниц пользователем.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

Wordfence

Резервировать

08.07.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379749

EPSS

0.00156

KEV

Нет

Деятельности

Низкий

Сектор

Hostingprovider

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!