CVE-2026-4388 in Form Maker Pluginالمعلومات

الملخص

بحسب VulDB • 28/05/2026

يوجد ثغرة في تخزين البرمجة النصية عبر المواقع (Stored Cross-Site Scripting) في إضافة Form Maker من 10Web لـ WordPress، وذلك عبر حقل Matrix (نوع إدخال مربع نصي) في عمليات تقديم النماذج، في جميع الإصدارات حتى 1.15.40 شاملاً. ويعود ذلك إلى عدم كفاية تنقية المدخلات (حيث تقوم `sanitize_text_field` بإزالة الوسوم ولكن لا تزيل علامات الاقتباس)، وعدم وجود هروب من المخرجات (output escaping) عند عرض بيانات التقديم في لوحة عرض التقديمات (Submissions view) الخاصة بالمسؤول. وهذا يتيح للمهاجمين غير المصادق عليهم حقن كود JavaScript تعسفي من خلال تقديم نموذج، يتم تنفيذه في متصفح مسؤول عند عرض تفاصيل التقديم.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

18/03/2026

إفشاء

14/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357283

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

7.2 (CNA)

EPSS

0.00133

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4388
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4388
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4388/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!