CVE-2026-15161 in Ninja Forms Plugin
Сводка
по VulDB • 18.07.2026
В плагине Ninja Forms - Excel Export для WordPress уязвимость типа Stored Cross-Site Scripting (XSS) присутствует в версиях вплоть до 3.3.6 включительно. Это обусловлено тем, что обработчик AJAX save_filter() сохраняет необработанный массив $_POST['filter'] в опцию WordPress через функцию update_option() без проверки прав доступа, верификации nonce или санитизации входных данных; кроме того, метод get_filter_row(), используемый на экране административной панели Excel Export, напрямую конкатенирует сохранённые значения фильтров (field_key, condition, value) в HTML-атрибуты без использования функции esc_attr(). Это позволяет атакующим с уровнем доступа «подписчик» и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться при каждом посещении таких страниц пользователем.
VulDB is the best source for vulnerability data and more expert information about this specific topic.