Platform
wordpress
Component
formgent
Opgelost in
1.7.1
CVE-2026-22460 beschrijft een 'Path Traversal' kwetsbaarheid in de wpWax FormGent WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om, door middel van manipulatie van bestandspaden, toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft versies van FormGent van 0.0.0 tot en met 1.7.0. Een patch is beschikbaar en wordt sterk aangeraden.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat potentieel configuratiebestanden, database credentials, of zelfs broncode van de WordPress website. Een aanvaller kan deze informatie gebruiken om verdere acties uit te voeren, zoals het compromitteren van de database, het uitvoeren van willekeurige code, of het stelen van gevoelige data. De impact is aanzienlijk, aangezien de kwetsbaarheid een directe route biedt naar kritieke systeembestanden.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-05. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild, maar de path traversal aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn geen bekende KEV vermeldingen op dit moment. Het is belangrijk om deze kwetsbaarheid serieus te nemen en de aanbevolen mitigaties te implementeren.
WordPress websites utilizing the wpWax FormGent plugin, particularly those running versions 0.0.0 through 1.7.0, are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable. Sites with sensitive data stored in configuration files or accessible via the web server are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/formgent/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/formgent/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de wpWax FormGent plugin naar een beveiligde versie zodra deze beschikbaar is. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strikte restricties op bestandstoegang binnen de WordPress omgeving. Dit kan bijvoorbeeld door middel van .htaccess configuratie of WordPress security plugins die bestandstoegang controleren. Controleer ook de WordPress plugin directory op updates en beveiligingsadviezen. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot een bestand buiten de toegestane directory via een web browser.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22460 is a HIGH severity vulnerability in wpWax FormGent allowing attackers to read arbitrary files on a WordPress server due to improper path validation.
You are affected if you are using wpWax FormGent versions 0.0.0 through 1.7.0. Upgrade as soon as a patch is available.
Upgrade to a patched version of FormGent. Until a patch is released, implement temporary workarounds like WAF rules and restricted file permissions.
As of the disclosure date, there are no known active exploits, but monitoring is recommended.
Check the wpWax website and WordPress plugin repository for updates and advisories related to CVE-2026-22460.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.