Plataforma
wordpress
Componente
formgent
Corregido en
1.7.1
Se ha identificado una vulnerabilidad de Path Traversal en el plugin FormGent para WordPress. Esta vulnerabilidad, clasificada con una severidad ALTA (CVSS: 8.6), permite a un atacante acceder a archivos arbitrarios en el servidor. Afecta a las versiones desde 0.0.0 hasta la 1.7.0. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación inmediatas.
La vulnerabilidad de Path Traversal en FormGent permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir la lectura de archivos de configuración, código fuente, o incluso archivos de bases de datos, comprometiendo la confidencialidad de información sensible. Un atacante podría obtener credenciales de acceso, claves de API, o información personal de usuarios. La explotación exitosa de esta vulnerabilidad podría conducir a la toma de control del servidor web.
Esta vulnerabilidad ha sido publicada el 5 de marzo de 2026. No se han reportado campañas de explotación activas a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
WordPress websites utilizing the wpWax FormGent plugin, particularly those running versions 0.0.0 through 1.7.0, are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable. Sites with sensitive data stored in configuration files or accessible via the web server are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/formgent/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/formgent/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin FormGent a la versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de seguridad adicionales. Restrinja los permisos de escritura en el directorio del plugin para evitar la modificación de archivos. Implemente reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas, como '..' o '/'. Revise la configuración del servidor web para asegurar que el acceso a archivos fuera del directorio raíz esté restringido.
No se conoce ninguna solución disponible. Revise a fondo los detalles de la vulnerabilidad y aplique mitigaciones en función de la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22460 is a HIGH severity vulnerability in wpWax FormGent allowing attackers to read arbitrary files on a WordPress server due to improper path validation.
You are affected if you are using wpWax FormGent versions 0.0.0 through 1.7.0. Upgrade as soon as a patch is available.
Upgrade to a patched version of FormGent. Until a patch is released, implement temporary workarounds like WAF rules and restricted file permissions.
As of the disclosure date, there are no known active exploits, but monitoring is recommended.
Check the wpWax website and WordPress plugin repository for updates and advisories related to CVE-2026-22460.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.