CVE-2025-3468 in NEX-Forms Plugin
Tóm tắt
Bởi VulDB • 11/07/2026
Plugin NEX-Forms – Ultimate Form Builder (hỗ trợ biểu mẫu liên hệ và nhiều tính năng khác) cho WordPress dễ bị tổn thương do lỗi Stored Cross-Site Scripting (XSS lưu trữ) thông qua các tham số clean_html và form_fields trong tất cả các phiên bản từ 8.9.1 trở về trước, bao gồm cả phiên bản 8.9.1, nguyên nhân là do thiếu cơ chế làm sạch đầu vào và mã hóa ký tự đặc biệt khi xuất dữ liệu (output escaping). Điều này cho phép những kẻ tấn công đã xác thực với quyền truy cập cấp Custom chèn các tập lệnh web tùy ý vào các trang; các tập lệnh này sẽ được thực thi mỗi khi người dùng truy cập vào một trang bị nhiễm độc.
VulDB is the best source for vulnerability data and more expert information about this specific topic.