Plataforma
wordpress
Componente
form-maker
Corrigido em
1.15.41
1.15.41
O plugin Form Maker by 10Web para WordPress apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada. Essa falha ocorre devido à falta de sanitização adequada e escaping de saída nos campos de texto do tipo 'Text Box' (Matrix field) nas submissões de formulário. Um atacante não autenticado pode explorar essa vulnerabilidade para injetar código JavaScript malicioso que será executado no navegador de um administrador ao visualizar os detalhes da submissão, comprometendo a segurança do painel administrativo.
A exploração bem-sucedida desta vulnerabilidade XSS armazenada permite que um atacante execute scripts maliciosos no contexto do navegador de um administrador do WordPress. Isso pode levar a diversas consequências graves, incluindo roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site e até mesmo a tomada de controle total da aplicação. O atacante pode usar essa vulnerabilidade para coletar informações confidenciais, como credenciais de login de administradores, ou para lançar ataques de phishing direcionados a outros usuários do site. A amplitude do impacto é significativa, pois qualquer administrador que visualize uma submissão de formulário maliciosa pode ser afetado.
O CVE-2026-4388 foi publicado em 2026-04-13. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade XSS e a sua facilidade de exploração. Não há evidências de campanhas ativas de exploração em larga escala no momento da publicação, mas a vulnerabilidade é pública e pode ser explorada por atacantes. A ausência de um EPSS score indica uma avaliação inicial de risco moderada.
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Form Maker by 10Web para a versão 1.15.41 ou superior, que corrige a falha de XSS. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais, como a aplicação de regras de firewall de aplicação web (WAF) para bloquear payloads XSS conhecidos. Além disso, desative temporariamente a exibição de dados de submissão de formulário no painel administrativo, se possível, para reduzir a superfície de ataque. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de injeção de código JavaScript.
Atualize para a versão 1.15.41, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada no plugin Form Maker by 10Web para WordPress, permitindo a injeção de JavaScript.
Se você estiver usando o Form Maker by 10Web em versões anteriores a 1.15.41, você está vulnerável.
Atualize o plugin Form Maker by 10Web para a versão 1.15.41 ou superior. Implemente regras WAF como medida temporária.
Não há evidências de exploração em larga escala, mas a vulnerabilidade é pública e pode ser explorada.
Consulte o National Vulnerability Database (NVD) e o site do 10Web para obter informações adicionais e atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.