Plataforma
wordpress
Componente
inquiry-form-to-posts-or-pages
Corregido en
1.0.1
La vulnerabilidad CVE-2026-6293 afecta al plugin Inquiry Form to Posts or Pages para WordPress, específicamente en las versiones 1.0.0 a 1.0. Esta vulnerabilidad permite ataques de Cross-Site Scripting (XSS) almacenada debido a la falta de validación de nonce y sanitización adecuada de las entradas del usuario. Un atacante puede aprovechar esta falla para ejecutar código malicioso en el navegador de otros usuarios.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web que utilizan el plugin Inquiry Form to Posts or Pages. Estos scripts pueden robar información confidencial, como cookies de sesión, redirigir a los usuarios a sitios web maliciosos o incluso tomar el control de la cuenta del usuario. La falta de validación de nonce en el manejador de actualización de la configuración permite a atacantes no autenticados modificar la configuración del plugin y almacenar scripts maliciosos que se ejecutarán cada vez que se muestre la página. La vulnerabilidad se agrava por la ausencia de escaping de salida, lo que facilita la ejecución del script inyectado.
Esta vulnerabilidad fue publicada el 15 de abril de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques. La falta de nonce validation es un patrón común en vulnerabilidades de WordPress y podría ser explotado por atacantes con experiencia. No se ha añadido a KEV a la fecha.
Websites using the Inquiry Form to Posts or Pages plugin, particularly those running WordPress versions that haven't been regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.
• wordpress / composer / npm:
grep -r "$_POST['inq_hidden'] == 'Y'" /var/www/wordpress/wp-content/plugins/inquiry-form-to-posts-or-pages/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'inquiry-form-to-posts-or-pages'• wordpress / composer / npm:
wp plugin list | grep 'inquiry-form-to-posts-or-pages'disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Inquiry Form to Posts or Pages a la versión corregida tan pronto como esté disponible. Mientras tanto, se pueden implementar medidas temporales. Una posible solución es implementar un Web Application Firewall (WAF) que filtre las solicitudes POST que contengan $POST['inqhidden'] == 'Y' y bloquee aquellas que no tengan un nonce válido. También se puede implementar una validación manual de nonce en el código del plugin, aunque esto requiere conocimientos de desarrollo de WordPress. Es crucial revisar y reforzar la sanitización de todas las entradas de usuario en el plugin.
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Podría ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-6293 is a Cross-Site Scripting (XSS) vulnerability in the Inquiry Form to Posts or Pages WordPress plugin, allowing attackers to inject malicious scripts due to missing nonce validation and insufficient sanitization.
You are affected if you are using the Inquiry Form to Posts or Pages plugin in WordPress versions 1.0.0 through 1.0 and have not upgraded to a patched version.
Upgrade to the latest version of the Inquiry Form to Posts or Pages plugin as soon as a patch is released. As a temporary workaround, disable the plugin or implement a WAF rule.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests it could be targeted by attackers.
Check the plugin developer's website or the WordPress plugin repository for updates and security advisories related to CVE-2026-6293.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.