Plataforma
wordpress
Componente
form-maker
Corrigido em
1.15.41
1.15.41
Uma vulnerabilidade de SQL Injection foi descoberta no plugin Form Maker by 10Web para WordPress. Essa falha permite que atacantes autenticados, com privilégios de administrador, injetem código SQL malicioso. A vulnerabilidade afeta todas as versões até a 1.15.40 e foi corrigida na versão 1.15.41. É crucial atualizar o plugin para mitigar o risco.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado execute consultas SQL arbitrárias no banco de dados do WordPress. Isso pode levar ao acesso não autorizado a informações sensíveis, como nomes de usuário, senhas, dados de formulários e outros dados armazenados no banco de dados. O atacante pode também modificar ou excluir dados, comprometendo a integridade do site. Em cenários mais graves, a injeção SQL pode ser usada para obter controle total sobre o servidor WordPress, permitindo a execução de código remoto e o acesso a outros sistemas na rede.
A vulnerabilidade CVE-2026-3330 foi publicada em 2026-04-17. A probabilidade de exploração é considerada média, dada a necessidade de autenticação para explorar a falha. Não há evidências públicas de campanhas de exploração ativas no momento. A vulnerabilidade afeta principalmente sites WordPress que utilizam o plugin Form Maker by 10Web e não foram atualizados.
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Form Maker by 10Web para a versão 1.15.41 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao painel de administração do WordPress e monitorar os logs do servidor em busca de atividades suspeitas. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de injeção SQL também pode ajudar. Verifique se as configurações do banco de dados do WordPress estão seguras e se as permissões de acesso estão corretamente configuradas. Após a atualização, confirme a correção executando testes de penetração ou utilizando ferramentas de análise de segurança para verificar se a vulnerabilidade foi efetivamente eliminada.
Atualize para a versão 1.15.41, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
It's a SQL Injection vulnerability in the Form Maker by 10Web WordPress plugin, allowing authenticated attackers to potentially extract data.
If you're using Form Maker by 10Web version 1.15.40 or earlier, you are vulnerable.
Upgrade the Form Maker by 10Web plugin to version 1.15.41 or later. Consider WAF rules as a temporary workaround.
Currently, there are no known public exploits or active campaigns targeting this vulnerability.
Refer to the official 10Web advisory and the NVD entry for CVE-2026-3330 for detailed information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.