| Nom du plugin | WordPress Form Maker par 10Web |
|---|---|
| Type de vulnérabilité | Script intersite |
| Numéro CVE | CVE-2026-1065 |
| Urgence | Moyen |
| Date de publication CVE | 2026-02-08 |
| URL source | CVE-2026-1065 |
Cross‑Site Scripting (CVE‑2026‑1065) dans Form Maker par 10Web — Ce que les propriétaires de sites WordPress doivent faire maintenant
XSS stocké non authentifié via des téléchargements SVG dans Form Maker (<=1.15.35) a été publié en tant que CVE‑2026‑1065. Cet article explique le risque, comment les attaquants peuvent abuser du traitement des téléchargements SVG, comment détecter l'exploitation et une liste de contrôle détaillée pour l'atténuation et la récupération.
Pourquoi cette vulnérabilité est importante
Stored Cross‑Site Scripting (XSS) is a high‑impact client‑side vulnerability. In this case, unauthenticated attackers could upload crafted SVG files that persist on the site and execute JavaScript when rendered by visitors’ browsers. Because the vuln is unauthenticated, the attacker does not need a user account — only the ability to reach the vulnerable upload endpoint.
Les conséquences potentielles incluent :
- Vol de cookies authentifiés et de jetons de session (menant à une élévation de privilèges) ;
- Prise de contrôle silencieuse du compte administrateur si les administrateurs consultent des pages infectées ;
- Injection de contenu persistant (hameçonnage, défiguration, insertion de publicités) ;
- Distribution de logiciels malveillants à la volée aux visiteurs du site ;
- Exfiltration of data accessible in a user’s browser (form entries, contact data);
- Dommages à la réputation et pénalités SEO.
