Plataforma
wordpress
Componente
formgent
Corrigido em
1.7.1
A vulnerabilidade CVE-2026-22460 é classificada como Path Traversal (Acesso Arbitrário a Arquivos) no plugin FormGent. Essa falha permite que atacantes acessem arquivos sensíveis no servidor, potencialmente expondo informações confidenciais ou executando código malicioso. Versões afetadas incluem as de 0.0.0 até 1.7.0. Uma correção foi disponibilizada, e a atualização é a solução recomendada.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor web, incluindo arquivos de configuração, código-fonte e dados sensíveis dos usuários. Isso pode levar à divulgação de informações confidenciais, como credenciais de banco de dados, chaves de API e dados pessoais. Em cenários mais graves, um atacante pode até mesmo modificar arquivos no servidor, comprometendo a integridade do sistema e permitindo a execução de código malicioso. A exploração bem-sucedida pode resultar em um comprometimento completo do servidor web e de todos os dados que ele contém.
A vulnerabilidade foi divulgada em 2026-03-05. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A severidade é classificada como ALTA (CVSS 8.6), indicando um risco significativo para sistemas vulneráveis. A inclusão em KEV (CISA Known Exploited Vulnerabilities) ainda não foi confirmada.
WordPress websites utilizing the wpWax FormGent plugin, particularly those running versions 0.0.0 through 1.7.0, are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable. Sites with sensitive data stored in configuration files or accessible via the web server are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/formgent/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/formgent/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-22460 é atualizar o plugin FormGent para a versão corrigida, assim que estiver disponível. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado do plugin. Após a atualização, verifique se o acesso a arquivos sensíveis fora do diretório do plugin é devidamente restrito.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22460 is a HIGH severity vulnerability in wpWax FormGent allowing attackers to read arbitrary files on a WordPress server due to improper path validation.
You are affected if you are using wpWax FormGent versions 0.0.0 through 1.7.0. Upgrade as soon as a patch is available.
Upgrade to a patched version of FormGent. Until a patch is released, implement temporary workarounds like WAF rules and restricted file permissions.
As of the disclosure date, there are no known active exploits, but monitoring is recommended.
Check the wpWax website and WordPress plugin repository for updates and advisories related to CVE-2026-22460.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.