Plataforma
wordpress
Componente
inquiry-form-to-posts-or-pages
Corrigido em
1.0.1
A vulnerabilidade CVE-2026-6293 é uma falha de Cross-Site Scripting (XSS) armazenado no plugin Inquiry Form to Posts or Pages para WordPress. Essa falha permite que atacantes injetem scripts maliciosos nas páginas do site, potencialmente comprometendo a segurança dos usuários. A vulnerabilidade afeta as versões 1.0.0 a 1.0 do plugin. Uma correção foi disponibilizada, e a atualização é a medida recomendada.
Um atacante pode explorar essa vulnerabilidade para injetar código JavaScript malicioso nas páginas do site WordPress. Ao fazer isso, o atacante pode roubar cookies de sessão, redirecionar usuários para sites maliciosos, exibir conteúdo falso ou realizar outras ações em nome do usuário afetado. A falta de validação de nonce e sanitização adequada das entradas tornam a exploração relativamente simples, especialmente se o atacante conseguir enviar dados POST com o parâmetro inq_hidden definido como 'Y'. O impacto pode ser significativo, levando à perda de dados, comprometimento da reputação e interrupção do serviço.
A vulnerabilidade foi divulgada em 2026-04-15. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um proof-of-concept público é desconhecida, mas a facilidade de exploração sugere que pode ser desenvolvido rapidamente. É importante monitorar a situação e aplicar as medidas de mitigação o mais rápido possível.
Websites using the Inquiry Form to Posts or Pages plugin, particularly those running WordPress versions that haven't been regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.
• wordpress / composer / npm:
grep -r "$_POST['inq_hidden'] == 'Y'" /var/www/wordpress/wp-content/plugins/inquiry-form-to-posts-or-pages/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'inquiry-form-to-posts-or-pages'• wordpress / composer / npm:
wp plugin list | grep 'inquiry-form-to-posts-or-pages'disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Inquiry Form to Posts or Pages para a versão corrigida, assim que estiver disponível. Enquanto isso, medidas paliativas podem ser implementadas. Implementar uma validação de nonce robusta em todos os formulários e entradas do plugin é crucial. Além disso, a sanitização de todas as entradas do usuário, utilizando funções de escape apropriadas para o contexto de saída, pode ajudar a prevenir a injeção de código malicioso. Monitorar logs do servidor em busca de atividades suspeitas, como requisições POST com o parâmetro inq_hidden e payloads potencialmente maliciosos, também pode auxiliar na detecção de tentativas de exploração.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6293 is a Cross-Site Scripting (XSS) vulnerability in the Inquiry Form to Posts or Pages WordPress plugin, allowing attackers to inject malicious scripts due to missing nonce validation and insufficient sanitization.
You are affected if you are using the Inquiry Form to Posts or Pages plugin in WordPress versions 1.0.0 through 1.0 and have not upgraded to a patched version.
Upgrade to the latest version of the Inquiry Form to Posts or Pages plugin as soon as a patch is released. As a temporary workaround, disable the plugin or implement a WAF rule.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests it could be targeted by attackers.
Check the plugin developer's website or the WordPress plugin repository for updates and security advisories related to CVE-2026-6293.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.