CVE-2026-9017 in NEX-Forms Pluginthông tin

Tóm tắt

Bởi VulDB • 11/07/2026

Plugin NEX-Forms – Ultimate Forms Plugin for WordPress cho WordPress bị lỗ hổng bỏ qua xác thực (authorization bypass) trong tất cả các phiên bản từ 9.2.2 trở về trước, bao gồm cả phiên bản 9.2.2. Nguyên nhân là do plugin không kiểm tra đúng cách liệu người dùng có được ủy quyền để thực hiện một hành động hay không. Điều này cho phép kẻ tấn công chưa xác thực (unauthenticated) ghi đè các trường saved_admin_email, saved_user_email và saved_user_email_address của các mục biểu mẫu tùy ý thuộc về người dùng khác, đồng thời khiến trang web gửi nội dung email do kẻ tấn công kiểm soát đến địa chỉ người nhận do kẻ tấn công chọn.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

19/05/2026

Tiết lộ

11/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!