WordPress FormGent plugin <= 1.7.0 - Willekeurige Bestandverwijdering kwetsbaarheid
Platform
wordpress
Component
formgent
Opgelost in
1.7.1
CVE-2026-22460 beschrijft een 'Path Traversal' kwetsbaarheid in de wpWax FormGent WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om, door middel van manipulatie van bestandspaden, toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft versies van FormGent van 0.0.0 tot en met 1.7.0. Een patch is beschikbaar en wordt sterk aangeraden.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat potentieel configuratiebestanden, database credentials, of zelfs broncode van de WordPress website. Een aanvaller kan deze informatie gebruiken om verdere acties uit te voeren, zoals het compromitteren van de database, het uitvoeren van willekeurige code, of het stelen van gevoelige data. De impact is aanzienlijk, aangezien de kwetsbaarheid een directe route biedt naar kritieke systeembestanden.
Uitbuitingscontext
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-05. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild, maar de path traversal aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn geen bekende KEV vermeldingen op dit moment. Het is belangrijk om deze kwetsbaarheid serieus te nemen en de aanbevolen mitigaties te implementeren.
Wie Loopt Risicowordt vertaald…
WordPress websites utilizing the wpWax FormGent plugin, particularly those running versions 0.0.0 through 1.7.0, are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable. Sites with sensitive data stored in configuration files or accessible via the web server are also at higher risk.
Detectiestappenwordt vertaald…
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/formgent/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/formgent/../../../../etc/passwd' # Check for file disclosureAanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Geen — geen vertrouwelijkheidsimpact.
- Integrity
- Geen — geen integriteitsimpact.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Pakketinformatie
- Actieve installaties
- 1KBekend
- Plugin-beoordeling
- 4.4
- Vereist WordPress
- 6.6+
- Compatibel tot
- 6.9.4
- Vereist PHP
- 7.4+
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie is het upgraden van de wpWax FormGent plugin naar een beveiligde versie zodra deze beschikbaar is. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strikte restricties op bestandstoegang binnen de WordPress omgeving. Dit kan bijvoorbeeld door middel van .htaccess configuratie of WordPress security plugins die bestandstoegang controleren. Controleer ook de WordPress plugin directory op updates en beveiligingsadviezen. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot een bestand buiten de toegestane directory via een web browser.
Hoe te verhelpen
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2026-22460 — Arbitrary File Access in wpWax FormGent?
CVE-2026-22460 is a HIGH severity vulnerability in wpWax FormGent allowing attackers to read arbitrary files on a WordPress server due to improper path validation.
Am I affected by CVE-2026-22460 in wpWax FormGent?
You are affected if you are using wpWax FormGent versions 0.0.0 through 1.7.0. Upgrade as soon as a patch is available.
How do I fix CVE-2026-22460 in wpWax FormGent?
Upgrade to a patched version of FormGent. Until a patch is released, implement temporary workarounds like WAF rules and restricted file permissions.
Is CVE-2026-22460 being actively exploited?
As of the disclosure date, there are no known active exploits, but monitoring is recommended.
Where can I find the official wpWax FormGent advisory for CVE-2026-22460?
Check the wpWax website and WordPress plugin repository for updates and advisories related to CVE-2026-22460.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.