Plataforma
wordpress
Componente
mw-wp-form
Corrigido em
5.1.2
5.1.2
A vulnerabilidade CVE-2026-5436 afeta o plugin MW WP Form para WordPress, permitindo acesso arbitrário de arquivos. Essa falha, classificada com CVSS 8.1 (ALTO), ocorre devido à validação insuficiente do parâmetro $name, possibilitando a leitura de arquivos sensíveis no servidor. Versões afetadas são aquelas anteriores ou iguais a 5.1.1. A correção foi disponibilizada na versão 5.1.2.
Um atacante pode explorar esta vulnerabilidade para ler arquivos arbitrários no servidor onde o plugin MW WP Form está instalado. Isso inclui arquivos de configuração, chaves de API, dados de usuários e outros dados sensíveis. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, comprometimento da integridade do sistema e, potencialmente, acesso não autorizado a outros recursos do servidor. A falta de validação adequada do caminho de upload permite que um atacante manipule o local onde os arquivos são armazenados, contornando as restrições de segurança pretendidas.
A vulnerabilidade foi divulgada em 2026-04-08. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração. Recomenda-se monitorar as fontes de inteligência de ameaças para detectar qualquer atividade suspeita relacionada a esta vulnerabilidade.
WordPress websites utilizing the MW WP Form plugin, particularly those running versions 5.1.1 or earlier, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites that rely on MW WP Form for critical data collection or form submissions are also at higher risk.
• wordpress / plugin:
wp plugin list | grep mwf• wordpress / plugin: Check plugin version in WordPress admin dashboard.
• wordpress / plugin: Search plugin files (e.g., wp-content/plugins/mw-wp-form/) for instances of generateuserfiledirpath() and pathjoin() to identify potential vulnerable code.
• generic web: Monitor web server access logs for requests containing suspicious characters or patterns in the mwfuploadfiles[] parameter.
disclosure
Status do Exploit
EPSS
0.24% (percentil 47%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-5436 é atualizar o plugin MW WP Form para a versão 5.1.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao diretório de uploads do WordPress, limitando as permissões para que apenas o usuário do servidor web possa gravar. Implementar regras de firewall (WAF) para bloquear solicitações com parâmetros de upload maliciosos também pode ajudar a mitigar o risco. Monitore os logs do servidor WordPress em busca de tentativas de acesso a arquivos inesperados.
Atualize para a versão 5.1.2 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5436 is a vulnerability in MW WP Form allowing attackers to potentially read or move files due to insufficient input validation. It affects versions up to 5.1.1 and has a CVSS score of 8.1 (HIGH).
You are affected if your WordPress site uses MW WP Form version 5.1.1 or earlier. Check your plugin version immediately to determine your risk level.
Upgrade MW WP Form to version 5.1.2 or later to resolve the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting file upload permissions and WAF rules.
While no public exploits are currently known, the vulnerability's nature suggests a relatively low barrier to exploitation, so active exploitation is possible.
Refer to the MW WP Form official website and WordPress plugin repository for the latest security advisories and updates related to CVE-2026-5436.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.