CVE-2026-4388

Name of the Vulnerable Software and Affected Versions Form Maker by 10Web versões anteriores a 1.15.41

Description O Cross-Site Scripting Armazenado é possível através do campo Matrix (tipo de entrada Text Box) em envios de formulários. O problema decorre de uma sanitização de entrada insuficiente utilizando a função sanitize text field, que remove tags mas não remove aspas, combinada com a falta de escape de saída ao renderizar os dados de envio na visualização de Envios do administrador. Isso permite que atacantes não autenticados injetem JavaScript arbitrário que é executado no navegador de um administrador que visualize os detalhes do envio.

Recommendations Atualize para uma versão posterior a 1.15.40.