Plataforma
wordpress
Componente
surveyjs
Corrigido em
1.10.0
2.5.4
2.5.4
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin SurveyJS Drag & Drop Form Builder para WordPress. Esta falha, presente em versões até 2.5.3, permite que atacantes injetem scripts maliciosos através da submissão de resultados de pesquisas. A exploração bem-sucedida pode levar à execução de código arbitrário no contexto de um administrador ao visualizar os resultados da pesquisa, comprometendo a segurança do sistema.
A vulnerabilidade XSS no SurveyJS permite que atacantes injetem scripts maliciosos diretamente nos resultados das pesquisas. Um atacante pode criar uma pesquisa com um campo de texto ou área de texto, inserir um payload XSS (como <script>alert('XSS')</script>) e, ao visualizar os resultados da pesquisa como administrador, o script será executado no navegador do administrador. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site ou até mesmo à execução de código arbitrário no servidor, dependendo das permissões do usuário administrador. A falta de sanitização adequada da entrada do usuário torna essa vulnerabilidade particularmente perigosa, pois qualquer usuário pode potencialmente explorar essa falha.
A vulnerabilidade foi divulgada em 2026-03-20. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da divulgação. A existência de um payload XSS simples torna a exploração relativamente fácil, e a falta de uma versão corrigida imediata aumenta o risco de exploração.
WordPress websites utilizing the SurveyJS Drag & Drop Form Builder plugin, particularly those with multiple administrators or those handling sensitive survey data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if they have not applied the necessary patch.
• wordpress / composer / npm:
grep -r 'surveyResult.html' /var/www/html/wp-content/plugins/surveyjs• generic web:
curl -I https://your-wordpress-site.com/survey/result?id=1 | grep Content-Type• wordpress / composer / npm:
wp plugin list --status=active | grep surveyjsdisclosure
Status do Exploit
EPSS
0.07% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-2440 é atualizar o plugin SurveyJS Drag & Drop Form Builder para a versão corrigida, assim que estiver disponível. Enquanto isso, considere implementar medidas de proteção adicionais. Uma opção é desabilitar temporariamente a funcionalidade de submissão de resultados de pesquisas, se não for essencial. Outra medida é implementar regras de firewall de aplicação web (WAF) para bloquear payloads XSS conhecidos. Além disso, revise e reforce as políticas de validação de entrada em todos os campos de formulário do WordPress para evitar a injeção de scripts maliciosos.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-2440 is a Stored Cross-Site Scripting (XSS) vulnerability in the SurveyJS plugin for WordPress versions up to 2.5.3, allowing attackers to inject malicious code via survey submissions.
If you are using SurveyJS Drag & Drop Form Builder version 2.5.3 or earlier on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the SurveyJS plugin for WordPress to a version greater than 2.5.3. Consider implementing input validation and WAF rules as temporary mitigations.
While no confirmed active exploitation has been reported, the vulnerability's ease of exploitation makes it a potential target.
Refer to the SurveyJS security advisories on their official website for the latest information and updates regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.