| Nombre del plugin | Creador de formularios de WordPress por 10Web |
|---|---|
| Tipo de vulnerabilidad | Scripting entre sitios |
| Número CVE | CVE-2026-1065 |
| Urgencia | Medio |
| Fecha de publicación de CVE | 2026-02-08 |
| URL de origen | CVE-2026-1065 |
Cross‑Site Scripting (CVE‑2026‑1065) en Creador de formularios por 10Web — Lo que los propietarios de sitios de WordPress deben hacer ahora
XSS almacenado no autenticado a través de cargas SVG en Creador de formularios (<=1.15.35) fue publicado como CVE‑2026‑1065. Esta publicación explica el riesgo, cómo los atacantes pueden abusar del manejo de cargas SVG, cómo detectar la explotación y una lista de verificación detallada de mitigación y recuperación.
Por qué esta vulnerabilidad es importante
Stored Cross‑Site Scripting (XSS) is a high‑impact client‑side vulnerability. In this case, unauthenticated attackers could upload crafted SVG files that persist on the site and execute JavaScript when rendered by visitors’ browsers. Because the vuln is unauthenticated, the attacker does not need a user account — only the ability to reach the vulnerable upload endpoint.
Las consecuencias potenciales incluyen:
- Robo de cookies autenticadas y tokens de sesión (lo que lleva a la escalada de privilegios);
- Toma de control silenciosa de cuentas de administrador si los administradores ven páginas infectadas;
- Inyección de contenido persistente (phishing, desfiguración, inserción de anuncios);
- Distribución de malware por descarga a los visitantes del sitio;
- Exfiltration of data accessible in a user’s browser (form entries, contact data);
- Daño reputacional y penalizaciones de SEO.
