CVE-2026-25339Contact Form by WPForms插件存在敏感信息泄露漏洞。该漏洞源于插件在处理表单提交或数据传输过程中,未正确过滤敏感信息,导致其被嵌入到发送的数据包中。攻击者可利用此漏洞,诱导用户进行特定交互,无需身份认证即可从返回数据中检索出敏感信息,造成信息泄露风险。受影响版本为1.9.8.7及以下。
该漏洞属于信息泄露类漏洞,其核心原因是应用程序未能有效地将敏感数据与对外输出的普通数据进行隔离。在Contact Form by WPForms插件中,当用户提交表单或与前端页面进行交互时,后端处理逻辑可能会将不应公开的敏感信息(如配置参数、内部路径、临时令牌或其他用户的元数据)直接嵌入到HTTP响应数据中。利用方式通常涉及攻击者构造特定的HTTP请求或诱导受害者访问特定的URL。由于CVSS评分显示无需认证且需要用户交互,攻击者可能通过社会工程学手段发送恶意链接。当受害者点击链接并触发表单加载或提交动作时,服务器响应的数据包中包含敏感信息。攻击者通过网络抓包或查看浏览器开发者工具,即可解析并提取这些被错误嵌入的敏感数据,从而为进一步的攻击提供情报支持。