Platform
wordpress
Component
form-maker
Opgelost in
1.15.41
1.15.41
CVE-2026-4388 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Form Maker by 10Web plugin voor WordPress. Deze kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om schadelijke JavaScript-code in te voegen via formulierinzendingen. De code wordt vervolgens uitgevoerd in de browser van een administrator wanneer deze de inzendingen bekijkt, wat kan leiden tot accountovername of andere schadelijke acties. De kwetsbaarheid treedt op in versies van de plugin tot en met 1.15.40, en is verholpen in versie 1.15.41.
Een succesvolle exploitatie van CVE-2026-4388 kan aanzienlijke gevolgen hebben. Een aanvaller kan JavaScript-code injecteren die de sessiecookie van een administrator steelt, waardoor de aanvaller zich kan voordoen als de administrator en toegang kan krijgen tot gevoelige gegevens en functionaliteit. Daarnaast kan de JavaScript-code gebruikt worden om de pagina te manipuleren, gebruikers om te leiden naar kwaadaardige websites, of andere schadelijke acties uit te voeren. De impact is verhoogd omdat de kwetsbaarheid zich in de admin interface bevindt, waar de privileges het hoogst zijn. Een aanvaller die toegang krijgt tot een administrator account kan de volledige WordPress website compromitteren.
CVE-2026-4388 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er is geen indicatie van actieve campagnes die deze specifieke kwetsbaarheid exploiteren op dit moment. De publicatiedatum van de CVE is 2026-04-13. De kwetsbaarheid is opgenomen in de NVD (National Vulnerability Database) en wordt mogelijk ook door CISA (Cybersecurity and Infrastructure Security Agency) gemonitord. Er zijn momenteel geen publiekelijk beschikbare Proof-of-Concept (POC) exploits, maar de relatieve eenvoud van XSS-exploits maakt het waarschijnlijk dat er in de toekomst POC's zullen verschijnen.
Exploit Status
EPSS
0.09% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4388 is het updaten van de Form Maker by 10Web plugin naar versie 1.15.41 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de admin inzendingen view. Implementeer een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren, specifiek gericht op de Matrix velden in formulierinzendingen. Controleer de formulierinzendingen op verdachte JavaScript-code. Zoek naar patronen zoals <script> tags of javascript: URL's. Na de upgrade, controleer de admin inzendingen view om te bevestigen dat de kwetsbaarheid is verholpen en er geen schadelijke scripts worden uitgevoerd.
Update naar versie 1.15.41, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
It's a unique identifier for a security vulnerability in the 10Web Form Maker plugin.
It's a type of vulnerability that allows an attacker to inject malicious code into a website, which then executes in the browsers of other users.
If you can't update immediately, consider temporarily disabling the Submissions view or implementing a Content Security Policy (CSP).
Review form submissions for suspicious content and monitor your website's network traffic.
There are vulnerability scanners that can detect this vulnerability. You can also perform manual testing to verify the issue.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.