10Web · Form Maker · CVE-2026-3330
**Name of the Vulnerable Software and Affected Versions**
The Form Maker by 10Web versões anteriores a 1.15.41
**Description**
Existe um problema onde atacantes autenticados com acesso de nível Administrador ou superior podem anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados. Isso ocorre porque o método `WDW FM Library::validate data()` utiliza `stripslashes()` em entradas de usuário, removendo a proteção padrão, e a função `FMModelSubmissions fm::get labels parameters()` concatena valores fornecidos pelo usuário em consultas SQL sem a preparação adequada. Os parâmetros afetados são 'ip search', 'startdate', 'enddate', 'username search' e 'useremail search'. Além disso, o controlador de Submissões não realiza a verificação de nonce para a tarefa 'display', permitindo que o problema seja acionado via Cross-Site Request Forgery (CSRF), que é uma técnica onde um atacante engana um usuário para realizar uma ação indesejada.
**Recommendations**
Atualize para uma versão posterior a 1.15.40.
Como medida paliativa temporária, restrinja o acesso à tarefa 'display' no controlador de Submissões ou evite usar os parâmetros `ip search`, `startdate`, `enddate`, `username search` e `useremail search` até que a atualização seja aplicada.