Plateforme
wordpress
Composant
inquiry-form-to-posts-or-pages
Corrigé dans
1.0.1
Le plugin Inquiry Form to Posts or Pages pour WordPress est vulnérable à une attaque de Cross-Site Scripting (XSS) stockée. Cette vulnérabilité est due à un manque de validation nonce et de sanitisation adéquate des entrées utilisateur, combinée à un manque d'échappement de sortie lors de l'affichage des valeurs stockées. L'impact principal est la possibilité d'exécuter du code JavaScript malveillant dans le navigateur d'autres utilisateurs.
Un attaquant peut exploiter cette vulnérabilité pour injecter du code JavaScript malveillant dans le plugin Inquiry Form to Posts or Pages. Ce code peut être exécuté dans le contexte du navigateur de l'utilisateur, permettant à l'attaquant de voler des cookies, de rediriger l'utilisateur vers des sites malveillants, ou de modifier le contenu de la page. La vulnérabilité CSRF amplifie l'impact en permettant à un attaquant de modifier les paramètres du plugin sans l'interaction directe de l'utilisateur, ce qui rend l'attaque plus discrète et plus difficile à détecter. Le risque est particulièrement élevé pour les sites WordPress utilisant ce plugin pour collecter des informations sensibles auprès des utilisateurs.
Cette vulnérabilité a été rendue publique le 2026-04-15. Il n'y a pas d'indication d'une exploitation active à ce jour. La présence d'une vulnérabilité CSRF combinée à une XSS stockée augmente la probabilité d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Websites using the Inquiry Form to Posts or Pages plugin, particularly those running WordPress versions that haven't been regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.
• wordpress / composer / npm:
grep -r "$_POST['inq_hidden'] == 'Y'" /var/www/wordpress/wp-content/plugins/inquiry-form-to-posts-or-pages/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'inquiry-form-to-posts-or-pages'• wordpress / composer / npm:
wp plugin list | grep 'inquiry-form-to-posts-or-pages'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Inquiry Form to Posts or Pages vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de limiter l'impact en désactivant temporairement le plugin ou en restreignant l'accès aux paramètres du plugin aux administrateurs autorisés. Il est également recommandé de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes contenant des charges utiles XSS potentielles. Surveiller les journaux d'accès et d'erreurs du serveur web pour détecter des tentatives d'exploitation de la vulnérabilité.
Aucune correction connue n'est disponible. Veuillez examiner attentivement les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6293 is a Cross-Site Scripting (XSS) vulnerability in the Inquiry Form to Posts or Pages WordPress plugin, allowing attackers to inject malicious scripts due to missing nonce validation and insufficient sanitization.
You are affected if you are using the Inquiry Form to Posts or Pages plugin in WordPress versions 1.0.0 through 1.0 and have not upgraded to a patched version.
Upgrade to the latest version of the Inquiry Form to Posts or Pages plugin as soon as a patch is released. As a temporary workaround, disable the plugin or implement a WAF rule.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests it could be targeted by attackers.
Check the plugin developer's website or the WordPress plugin repository for updates and security advisories related to CVE-2026-6293.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.