Plateforme
wordpress
Composant
form-maker
Corrigé dans
1.15.41
1.15.41
Le plugin Form Maker by 10Web pour WordPress présente une vulnérabilité de Cross-Site Scripting (XSS) stockée. Cette faille se situe dans le champ Matrix (type d'entrée Texte) lors de la soumission de formulaires, affectant toutes les versions jusqu'à et y compris 1.15.40. L'absence de validation et d'échappement appropriés des données soumises permet à un attaquant non authentifié d'injecter du code JavaScript arbitraire. La mise à jour vers la version 1.15.41 corrige cette vulnérabilité.
Un attaquant peut exploiter cette vulnérabilité XSS stockée pour injecter du code JavaScript malveillant dans les formulaires soumis via le champ Matrix. Lorsque les administrateurs WordPress consultent les détails de ces soumissions dans la vue des soumissions de l'interface d'administration, le code JavaScript injecté s'exécute dans leur navigateur. Cela peut permettre à l'attaquant de voler des cookies de session, de rediriger l'administrateur vers un site web malveillant, de modifier le contenu de la page ou d'effectuer d'autres actions malveillantes au nom de l'administrateur. Le risque est particulièrement élevé car l'attaquant n'a pas besoin d'être authentifié pour soumettre le formulaire contenant le code malveillant. La surface d'attaque est donc large et le potentiel d'impact important, notamment en termes de compromission de comptes administrateur et de vol de données sensibles.
Cette vulnérabilité a été publiée le 13 avril 2026. Sa probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'interagir avec l'interface d'administration WordPress. Il n'y a pas d'indications d'une campagne d'exploitation active à ce jour, ni de Proof of Concept (POC) publics largement diffusés. La vulnérabilité est référencée sur le site du NVD (National Vulnerability Database) et potentiellement sur CISA (Cybersecurity and Infrastructure Security Agency) à terme.
Statut de l'Exploit
EPSS
0.09% (percentile 26%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour le plugin Form Maker by 10Web vers la version 1.15.41 ou supérieure, qui corrige la vulnérabilité XSS. En attendant la mise à jour, des mesures d'atténuation peuvent être prises. Il est recommandé de désactiver temporairement le champ Matrix (type d'entrée Texte) dans les formulaires, ou de limiter son utilisation aux utilisateurs authentifiés. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'injection de code JavaScript malveillant. Configurez des règles WAF pour détecter et bloquer les requêtes contenant des balises <script> ou d'autres motifs suspects dans les données de formulaire. Enfin, surveillez attentivement les journaux d'activité de WordPress pour détecter toute activité suspecte liée aux soumissions de formulaires.
Mettre à jour vers la version 1.15.41, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité XSS stockée dans le plugin Form Maker by 10Web pour WordPress, permettant l'injection de code JavaScript.
Si vous utilisez Form Maker by 10Web en version 1.15.40 ou inférieure, vous êtes potentiellement affecté.
Mettez à jour Form Maker by 10Web vers la version 1.15.41 ou supérieure. En attendant, désactivez le champ Matrix ou utilisez un WAF.
À ce jour, il n'y a pas d'indications d'une exploitation active, mais la vigilance est de mise.
Consultez le site du NVD (National Vulnerability Database) pour plus d'informations : [https://nvd.nist.gov/](https://nvd.nist.gov/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.