Platform
wordpress
Component
surveyjs
Opgelost in
1.10.0
2.5.4
2.5.4
CVE-2026-2440 describes a Stored Cross-Site Scripting (XSS) vulnerability affecting the SurveyJS plugin for WordPress versions up to and including 2.5.3. An attacker can inject malicious HTML-encoded payloads through survey result submissions, which are then rendered as executable HTML when an administrator views survey results. This vulnerability allows for stored XSS in the admin context, potentially leading to account compromise and further malicious activity.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het stelen van gevoelige informatie, zoals gebruikersnamen, wachtwoorden en sessie cookies van WordPress beheerders. De aanvaller kan ook schadelijke code injecteren in de website, waardoor bezoekers worden blootgesteld aan phishing-aanvallen of malware. Omdat de payload wordt opgeslagen in de survey resultaten, kan de impact aanzienlijk zijn, aangezien de code herhaaldelijk kan worden uitgevoerd bij elke weergave van de survey resultaten door een beheerder. Dit is vergelijkbaar met andere XSS kwetsbaarheden die in WordPress plugins zijn ontdekt, waarbij de toegang tot de admin interface in gevaar komt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-20. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is significant vanwege de mogelijkheid om schadelijke code uit te voeren in de admin context. De impact is verhoogd door het feit dat de payload wordt opgeslagen, wat de kans op herhaalde exploitatie vergroot. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een medium waarschijnlijkheid van exploitatie.
WordPress websites utilizing the SurveyJS Drag & Drop Form Builder plugin, particularly those with multiple administrators or those handling sensitive survey data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if they have not applied the necessary patch.
• wordpress / composer / npm:
grep -r 'surveyResult.html' /var/www/html/wp-content/plugins/surveyjs• generic web:
curl -I https://your-wordpress-site.com/survey/result?id=1 | grep Content-Type• wordpress / composer / npm:
wp plugin list --status=active | grep surveyjsdisclosure
Exploit Status
EPSS
0.07% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de SurveyJS Drag & Drop Form Builder plugin naar een beveiligde versie. Controleer de officiële website van SurveyJS voor de meest recente versie. Indien een directe upgrade niet mogelijk is vanwege compatibiliteitsproblemen, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot survey resultaten voor niet-beheerders. Implementeer een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren. Controleer de WordPress plugin directory op updates en beveiligingsadviezen.
Geen bekende patch beschikbaar. Bestudeer de details van de vulnerability in detail en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-2440 is a Stored Cross-Site Scripting (XSS) vulnerability in the SurveyJS plugin for WordPress versions up to 2.5.3, allowing attackers to inject malicious code via survey submissions.
If you are using SurveyJS Drag & Drop Form Builder version 2.5.3 or earlier on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the SurveyJS plugin for WordPress to a version greater than 2.5.3. Consider implementing input validation and WAF rules as temporary mitigations.
While no confirmed active exploitation has been reported, the vulnerability's ease of exploitation makes it a potential target.
Refer to the SurveyJS security advisories on their official website for the latest information and updates regarding this vulnerability.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.