Platform
wordpress
Component
mw-wp-form
Opgelost in
5.1.2
5.1.2
CVE-2026-5436 describes an Arbitrary File Access vulnerability discovered in the MW WP Form plugin for WordPress. This flaw allows attackers to potentially move or read arbitrary files on the server due to insufficient input validation. The vulnerability affects versions of MW WP Form up to and including 5.1.1, and a patch is available in version 5.1.2.
Een succesvolle exploitatie van CVE-2026-5436 kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat potentieel configuratiebestanden, broncode, of andere data die de integriteit en vertrouwelijkheid van de website in gevaar brengt. Een aanvaller kan deze bestanden gebruiken om verdere acties uit te voeren, zoals het verkrijgen van credentials, het uitvoeren van schadelijke code, of het compromitteren van de hele server. De impact is verhoogd omdat de kwetsbaarheid zich in een populaire WordPress plugin bevindt, wat een groot aantal websites potentieel kwetsbaar maakt.
CVE-2026-5436 werd publiekelijk bekendgemaakt op 2026-04-08. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de kwetsbaarheid is significant vanwege de potentiële impact en de populariteit van de plugin. De kans op exploitatie wordt als gemiddeld beschouwd, aangezien de kwetsbaarheid relatief eenvoudig te begrijpen is en de impact aanzienlijk kan zijn.
WordPress websites utilizing the MW WP Form plugin, particularly those running versions 5.1.1 or earlier, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites that rely on MW WP Form for critical data collection or form submissions are also at higher risk.
• wordpress / plugin:
wp plugin list | grep mwf• wordpress / plugin: Check plugin version in WordPress admin dashboard.
• wordpress / plugin: Search plugin files (e.g., wp-content/plugins/mw-wp-form/) for instances of generateuserfiledirpath() and pathjoin() to identify potential vulnerable code.
• generic web: Monitor web server access logs for requests containing suspicious characters or patterns in the mwfuploadfiles[] parameter.
disclosure
Exploit Status
EPSS
0.24% (47% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-5436 is het upgraden van de MW WP Form plugin naar versie 5.1.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van upload functionaliteit via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om POST requests met de parameter mwfuploadfiles[] te inspecteren en te blokkeren die verdachte karakters bevatten. Controleer ook de WordPress plugin directory op verdachte bestanden en verwijder ongebruikelijke uploads.
Update naar versie 5.1.2, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5436 is a vulnerability in MW WP Form allowing attackers to potentially read or move files due to insufficient input validation. It affects versions up to 5.1.1 and has a CVSS score of 8.1 (HIGH).
You are affected if your WordPress site uses MW WP Form version 5.1.1 or earlier. Check your plugin version immediately to determine your risk level.
Upgrade MW WP Form to version 5.1.2 or later to resolve the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting file upload permissions and WAF rules.
While no public exploits are currently known, the vulnerability's nature suggests a relatively low barrier to exploitation, so active exploitation is possible.
Refer to the MW WP Form official website and WordPress plugin repository for the latest security advisories and updates related to CVE-2026-5436.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.