Fuente base de datos: Wordfence Intelligence

Form Maker by 10Web <= 1.15.35 - Unauthenticated Stored Cross-Site Scripting via SVG file

PLUGIN HIGH CVE-2026-1065

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Form Maker de 10Web, que afecta a versiones hasta la 1.15.35. Este fallo permite la ejecución de scripts maliciosos sin necesidad de autenticación.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja archivos SVG, permitiendo que un atacante almacene código JavaScript malicioso en el servidor. Esto se traduce en una ejecución no autorizada de scripts en el navegador de los usuarios que visitan la página afectada.

Impacto potencial

El impacto puede ser significativo, ya que un atacante podría robar información sensible de los usuarios, como credenciales de acceso, o incluso tomar el control de sus sesiones. Esto podría dañar la reputación de la empresa y resultar en pérdidas económicas.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad subiendo un archivo SVG malicioso a través de formularios del plugin, que luego es servido a otros usuarios sin la debida sanitización.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 1.15.36 o superior. Además, se debe revisar la configuración de los permisos de archivo y aplicar medidas de sanitización en la entrada de datos para prevenir futuros ataques.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en los formularios, como redirecciones inesperadas o la carga de contenido no autorizado en el navegador de los usuarios.

Alcance afectado

Las versiones del plugin Form Maker de 10Web hasta la 1.15.35 son las afectadas. Las instalaciones que no han sido actualizadas a la versión 1.15.36 o superior están en riesgo.

Vulnerabilidades relacionadas

HIGH PLUGIN

form-maker