Plateforme
wordpress
Composant
form-maker
Corrigé dans
1.15.39
Une vulnérabilité d'injection SQL a été découverte dans le plugin Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder pour WordPress. Cette faille, présente dans les versions jusqu'à 1.15.38, est due à un manque d'échappement adéquat des paramètres fournis par l'utilisateur et à une préparation insuffisante des requêtes SQL existantes. La mise à jour vers la version 1.15.39 corrige cette vulnérabilité.
L'injection SQL permet à un attaquant non authentifié d'insérer des requêtes SQL malveillantes dans des requêtes SQL existantes. Cela peut conduire à la divulgation d'informations sensibles stockées dans la base de données WordPress, telles que les noms d'utilisateur, les mots de passe hachés, les adresses e-mail et d'autres données confidentielles. Dans le pire des cas, un attaquant pourrait même obtenir un contrôle total sur la base de données, permettant la modification ou la suppression de données, ou l'exécution de commandes arbitraires sur le serveur WordPress. Bien qu'il n'y ait pas de rapports publics d'exploitation directe de cette vulnérabilité, des injections SQL similaires ont été largement exploitées dans le passé, soulignant le risque potentiel.
La vulnérabilité CVE-2026-39502 a été publiée le 8 avril 2026. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature courante des attaques par injection SQL et de la disponibilité potentielle d'outils d'exploitation. Aucune preuve d'exploitation active n'est actuellement disponible, mais la vulnérabilité reste critique en raison de son impact potentiel. Il est conseillé de surveiller les forums de sécurité et les flux d'informations sur les menaces pour détecter toute activité suspecte.
Statut de l'Exploit
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin Form Maker by 10Web vers la version 1.15.39 ou ultérieure. Si la mise à jour provoque des problèmes de compatibilité, envisagez de revenir à une version antérieure stable du plugin (si possible) avant d'appliquer la mise à jour. En attendant la mise à jour, il est possible de renforcer la sécurité en mettant en place des règles de pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des caractères SQL malveillants. Vérifiez également les configurations du plugin pour vous assurer que les paramètres d'entrée utilisateur sont correctement validés et échappés. Après la mise à jour, vérifiez l'intégrité de la base de données et effectuez des tests de pénétration pour confirmer que la vulnérabilité a été corrigée.
Mettre à jour vers la version 1.15.39, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39502 is a SQL Injection vulnerability in the Form Maker by 10Web WordPress plugin. It allows attackers to inject SQL code into database queries, potentially stealing sensitive information.
You are affected if you are using Form Maker by 10Web WordPress plugin version 1.15.38 or earlier. It is crucial to check your plugin version and update immediately if vulnerable.
The vulnerability is fixed in version 1.15.39 of the Form Maker by 10Web plugin. Update your plugin to this version or later to mitigate the risk.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.