Platform
wordpress
Component
inquiry-form-to-posts-or-pages
Opgelost in
1.0.1
CVE-2026-6293 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in de Inquiry Form to Posts or Pages plugin voor WordPress. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige scripts uit te voeren in de browser van een andere gebruiker. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0 en kan worden verholpen door het updaten van de plugin of door mitigatiemaatregelen te implementeren.
Een succesvolle exploitatie van CVE-2026-6293 kan een aanvaller in staat stellen om kwaadaardige JavaScript-code uit te voeren in de context van de getroffen WordPress-site. Dit kan leiden tot verschillende schadelijke gevolgen, waaronder het stelen van gebruikersgegevens (zoals cookies en sessie-informatie), het omleiden van gebruikers naar kwaadaardige websites, het wijzigen van de inhoud van de website en het uitvoeren van acties namens de geauthenticeerde gebruiker. De impact is aanzienlijk, vooral op websites die gevoelige informatie verwerken of waar gebruikersaccounts worden beheerd. Het ontbreken van nonce validatie en onvoldoende input sanitatie maakt deze kwetsbaarheid relatief eenvoudig te exploiteren.
Op dit moment (2026-04-15) zijn er geen publieke exploits bekend, maar de kwetsbaarheid is relatief eenvoudig te exploiteren vanwege het ontbreken van basisbeveiligingsmaatregelen. De publicatie van de CVE suggereert dat onderzoekers de kwetsbaarheid hebben ontdekt en gerapporteerd. De EPSS score is waarschijnlijk medium, aangezien de kwetsbaarheid relatief eenvoudig te exploiteren is en een aanzienlijke impact kan hebben. Er is geen vermelding op de CISA KEV catalogus.
Websites using the Inquiry Form to Posts or Pages plugin, particularly those running WordPress versions that haven't been regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.
• wordpress / composer / npm:
grep -r "$_POST['inq_hidden'] == 'Y'" /var/www/wordpress/wp-content/plugins/inquiry-form-to-posts-or-pages/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'inquiry-form-to-posts-or-pages'• wordpress / composer / npm:
wp plugin list | grep 'inquiry-form-to-posts-or-pages'disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-6293 is het updaten van de Inquiry Form to Posts or Pages plugin naar de meest recente versie, zodra beschikbaar. Totdat een update beschikbaar is, kunnen de volgende tijdelijke maatregelen worden genomen: implementeer een Web Application Firewall (WAF) met regels om XSS-aanvallen te blokkeren, beperk de toegang tot de plugin-instellingen via rolbeheer in WordPress, en controleer de plugin-code op verdachte patronen. Het is cruciaal om de plugin-instellingen te beveiligen en de input van gebruikers grondig te valideren en te sanitiseren om verdere exploits te voorkomen. Na de upgrade, controleer de plugin-instellingen en de functionaliteit van het formulier om te bevestigen dat de kwetsbaarheid is verholpen.
Geen bekende patch beschikbaar. Beoordeel de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-6293 is a Cross-Site Scripting (XSS) vulnerability in the Inquiry Form to Posts or Pages WordPress plugin, allowing attackers to inject malicious scripts due to missing nonce validation and insufficient sanitization.
You are affected if you are using the Inquiry Form to Posts or Pages plugin in WordPress versions 1.0.0 through 1.0 and have not upgraded to a patched version.
Upgrade to the latest version of the Inquiry Form to Posts or Pages plugin as soon as a patch is released. As a temporary workaround, disable the plugin or implement a WAF rule.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests it could be targeted by attackers.
Check the plugin developer's website or the WordPress plugin repository for updates and security advisories related to CVE-2026-6293.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.