Plateforme
wordpress
Composant
surveyjs
Corrigé dans
1.10.0
2.5.4
2.5.4
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans le plugin SurveyJS Drag & Drop Form Builder pour WordPress. Cette faille, présente dans les versions 2.5.3 et antérieures, permet à un attaquant d'injecter du code JavaScript malveillant via les soumissions de formulaires. L'exécution de ce code peut compromettre la sécurité des administrateurs WordPress lors de la consultation des résultats des sondages, offrant un accès potentiellement non autorisé.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur d'un administrateur WordPress. Cela peut permettre le vol de cookies de session, le détournement de session, la modification du contenu du site web, ou même l'installation de logiciels malveillants. L'attaquant peut exploiter cette faille en soumettant un formulaire contenant des payloads HTML-encoded qui, une fois décodés et affichés dans la page des résultats du sondage, seront exécutés comme du code JavaScript. La nature 'stored' de cette XSS signifie que le payload persiste sur le serveur, augmentant la surface d'attaque et la probabilité d'exploitation.
Cette vulnérabilité a été rendue publique le 20 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité XSS la rend potentiellement attractive pour les attaquants. La présence d'un nonce public sur la page de soumission du formulaire facilite l'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
WordPress websites utilizing the SurveyJS Drag & Drop Form Builder plugin, particularly those with multiple administrators or those handling sensitive survey data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if they have not applied the necessary patch.
• wordpress / composer / npm:
grep -r 'surveyResult.html' /var/www/html/wp-content/plugins/surveyjs• generic web:
curl -I https://your-wordpress-site.com/survey/result?id=1 | grep Content-Type• wordpress / composer / npm:
wp plugin list --status=active | grep surveyjsdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 23%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin SurveyJS Drag & Drop Form Builder vers une version corrigée, dès qu'elle sera disponible. En attendant, il est possible de réduire le risque en désactivant temporairement les fonctionnalités de soumission de formulaires ou en appliquant des règles de pare-feu d'applications web (WAF) pour bloquer les requêtes contenant des payloads XSS potentiels. Il est également recommandé de renforcer les politiques de sécurité du contenu (CSP) pour limiter les sources de scripts autorisées. Vérifiez après la mise à jour que les soumissions de formulaires ne présentent plus de comportement inattendu et que les données sensibles sont correctement validées et échappées.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-2440 is a Stored Cross-Site Scripting (XSS) vulnerability in the SurveyJS plugin for WordPress versions up to 2.5.3, allowing attackers to inject malicious code via survey submissions.
If you are using SurveyJS Drag & Drop Form Builder version 2.5.3 or earlier on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the SurveyJS plugin for WordPress to a version greater than 2.5.3. Consider implementing input validation and WAF rules as temporary mitigations.
While no confirmed active exploitation has been reported, the vulnerability's ease of exploitation makes it a potential target.
Refer to the SurveyJS security advisories on their official website for the latest information and updates regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.