| Nombre del plugin | Creador de formularios de WordPress por 10Web |
|---|---|
| Tipo de vulnerabilidad | Scripting entre sitios |
| Número CVE | CVE-2026-1065 |
| Urgencia | Medio |
| Fecha de publicación de CVE | 2026-02-08 |
| URL de origen | CVE-2026-1065 |
Cross‑Site Scripting (CVE‑2026‑1065) en Creador de formularios por 10Web — Lo que los propietarios de sitios de WordPress deben hacer ahora
XSS almacenado no autenticado a través de cargas SVG en Creador de formularios (<=1.15.35) fue publicado como CVE‑2026‑1065. Esta publicación explica el riesgo, cómo los atacantes pueden abusar del manejo de cargas SVG, cómo detectar la explotación y una lista de verificación detallada de mitigación y recuperación.
Por qué esta vulnerabilidad es importante
El Cross‑Site Scripting (XSS) almacenado es una vulnerabilidad del lado del cliente de alto impacto. En este caso, los atacantes no autenticados podrían cargar archivos SVG manipulados que persisten en el sitio y ejecutan JavaScript cuando son renderizados por los navegadores de los visitantes. Debido a que la vulnerabilidad no requiere autenticación, el atacante no necesita una cuenta de usuario, solo la capacidad de acceder al punto de carga vulnerable.
Las consecuencias potenciales incluyen:
- Robo de cookies autenticadas y tokens de sesión (lo que lleva a la escalada de privilegios);
- Toma de control silenciosa de cuentas de administrador si los administradores ven páginas infectadas;
- Inyección de contenido persistente (phishing, desfiguración, inserción de anuncios);
- Distribución de malware por descarga a los visitantes del sitio;
- Exfiltración de datos accesibles en el navegador de un usuario (entradas de formularios, datos de contacto);
- Daño reputacional y penalizaciones de SEO.
