CVE-2025-1294)

ALT (7,2)

CVSS3: 0,0

El connector eForm – WordPress Form Builder per a WordPress és vulnerable a una injecció indirecta de scripts emmagatzemats en totes les versions fins a la 4.18.0 inclosa, a causa d’un sanejament insuficient de l’entrada i d’una escapada de sortida. Això permet que els atacants no autenticats injectin scripts web arbitraris a les pàgines que s’executaran cada vegada que un usuari accedeixi a una pàgina injectada.

Sistemes Afectats

• WPQuark eForm – WordPress Form Builder

Remediació
No hi ha cap recurs disponible a partir del 25 d’abril del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/6c5db375-e865-47ba-a3dd-462c55d066fd?source=cve
• https://codecanyon.net/item/eform-wordpress-form-builder/3180835https://eform.live/changelog/