Platform
wordpress
Component
form-maker
Opgelost in
1.15.41
1.15.41
CVE-2026-3330 is a SQL Injection vulnerability affecting the Form Maker by 10Web plugin for WordPress. This flaw allows authenticated attackers, specifically administrators, to potentially extract sensitive data from the database. The vulnerability exists in versions up to 1.15.40 due to improper input validation and query construction. A patch is available in version 1.15.41.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ernstige gevolgen. Een aanvaller kan gevoelige informatie uit de database stelen, zoals gebruikersnamen, wachtwoorden, en andere persoonlijke gegevens. Bovendien kan de aanvaller de database manipuleren, waardoor de functionaliteit van de website wordt aangetast of zelfs volledig wordt uitgeschakeld. De impact is vergelijkbaar met andere SQL Injection kwetsbaarheden waarbij de aanvaller directe toegang tot de database heeft. De kwetsbaarheid is specifiek voor geauthenticeerde gebruikers met administrator rechten, wat de potentiële schade aanzienlijk vergroot.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-04-17. Er is geen informatie beschikbaar over actieve campagnes of exploitatie in het wild op dit moment. De CVSS score is 4.9 (MEDIUM), wat een matige kans op exploitatie suggereert. Er zijn geen bekende public Proof-of-Concept (POC) exploits beschikbaar, maar de kwetsbaarheid is relatief eenvoudig te exploiteren, wat het risico op toekomstige exploitatie verhoogt.
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Form Maker by 10Web plugin naar versie 1.15.41 of hoger. Indien een directe upgrade problemen veroorzaakt, overweeg dan een rollback naar een eerdere, stabiele versie van de plugin (indien mogelijk) en test de upgrade vervolgens in een staging omgeving. Als een upgrade niet direct mogelijk is, implementeer dan Web Application Firewall (WAF) regels om SQL Injection pogingen te detecteren en te blokkeren. Controleer de WordPress plugin configuratie op onnodige privileges en beperk de toegang tot de database. Zoek naar logbestanden op verdachte SQL queries die gebruik maken van parameters zoals 'ipsearch', 'startdate', 'enddate', 'usernamesearch', en 'useremail_search'.
Update naar versie 1.15.41, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
It's a SQL Injection vulnerability in the Form Maker by 10Web WordPress plugin, allowing authenticated attackers to potentially extract data.
If you're using Form Maker by 10Web version 1.15.40 or earlier, you are vulnerable.
Upgrade the Form Maker by 10Web plugin to version 1.15.41 or later. Consider WAF rules as a temporary workaround.
Currently, there are no known public exploits or active campaigns targeting this vulnerability.
Refer to the official 10Web advisory and the NVD entry for CVE-2026-3330 for detailed information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.