momo安全漏洞库

多模块数据检索平台

登录 注册
返回列表

WordPress Contact-form-by-supsystic SSTI注入(CVE-2026-4257)

CVE: CVE-2026-4257
CNVD: 暂无
CNNVD: 暂无
漏洞类型: SQL注入
漏洞等级: 高危
年份: 2026
POC_ID: 暂无
漏洞描述
WordPress Contact-form-by-supsystic 插件使用了 Twig“Twig_Loader_String”模板引擎,且没有沙箱处理,结合了“cfsPreFill”预填充功能,允许未经认证的用户通过 GET 参数将任意的Twig 表达式注入表单字段值。
FOFA 语句
暂无
影响范围
WordPress Contact-form-by-supsystic
漏洞详情
暂无
漏洞 POC
暂无
修复建议
暂无
参考来源
https://rss.biu.life/ti/WordPress%20Contact-form-by-supsystic%20SSTI%E6%B3%A8%E5%85%A5%28CVE-2026-4257%29