平台
wordpress
组件
form-maker
修复版本
1.15.41
1.15.41
CVE-2026-4388 是一个存在于 WordPress Form Maker 插件中的安全漏洞,具体表现为存储型跨站脚本 (XSS)。攻击者可以利用该漏洞在表单提交的 Matrix 字段(文本框输入类型)中注入恶意脚本,当管理员查看提交详情时,这些脚本会在管理员的浏览器中执行,可能导致敏感信息泄露或恶意行为。该漏洞影响 Form Maker 插件的所有版本,包括 1.15.40 及更早版本。该漏洞已在 1.15.41 版本中修复。
10Web Form Maker WordPress插件中的CVE-2026-4388漏洞构成重大安全风险。它允许未经身份验证的攻击者通过表单提交,特别是在“Matrix”字段(文本框输入类型)中注入任意JavaScript代码。此漏洞利用源于输入清理不足(使用sanitizetextfield会删除标签,但不会删除引号)以及在管理后台“提交”视图中呈现提交数据时缺乏输出转义。攻击者可以使用此恶意代码来窃取会话Cookie、将管理员重定向到恶意网站或修改页面内容,从而损害WordPress网站的完整性和保密性。
利用此漏洞需要攻击者提交包含“Matrix”字段中恶意JavaScript代码的表单。由于此漏洞不需要身份验证,因此任何人都可以潜在地利用它。注入的代码将在管理员访问“提交”视图时在管理员的浏览器上下文中执行。利用的复杂性相对较低,因为无需高级技术技能即可创建恶意表单。影响可能因注入代码而异,但在最坏的情况下,可能导致对网站的完全控制。
漏洞利用状态
EPSS
0.09% (26% 百分位)
CISA SSVC
CVSS 向量
为了减轻此风险,强烈建议将Form Maker插件更新到版本1.15.41或更高版本。此版本包含通过实施适当的输入清理和输出转义来修复漏洞。此外,请检查现有表单提交是否存在可疑内容。作为预防措施,请考虑实施内容安全策略(CSP),以限制从不受信任的来源执行脚本。最后,请确保所有用户都使用强密码并启用双因素身份验证以保护管理员帐户。
更新到 1.15.41 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
这是10Web Form Maker插件中安全漏洞的唯一标识符。
这是一种漏洞类型,允许攻击者将恶意代码注入网站,然后该代码在其他用户的浏览器中执行。
如果无法立即更新,请考虑暂时禁用“提交”视图或实施内容安全策略(CSP)。
检查表单提交是否存在可疑内容,并监控您网站的网络流量。
有一些漏洞扫描器可以检测此漏洞。您还可以进行手动测试以验证问题。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。