CVE-2026-3330

Name of the Vulnerable Software and Affected Versions The Form Maker by 10Web versões anteriores a 1.15.41

Description Existe um problema onde atacantes autenticados com acesso de nível Administrador ou superior podem anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados. Isso ocorre porque o método WDW FM Library::validate data() utiliza stripslashes() em entradas de usuário, removendo a proteção padrão, e a função FMModelSubmissions fm::get labels parameters() concatena valores fornecidos pelo usuário em consultas SQL sem a preparação adequada. Os parâmetros afetados são 'ip search', 'startdate', 'enddate', 'username search' e 'useremail search'. Além disso, o controlador de Submissões não realiza a verificação de nonce para a tarefa 'display', permitindo que o problema seja acionado via Cross-Site Request Forgery (CSRF), que é uma técnica onde um atacante engana um usuário para realizar uma ação indesejada.

Recommendations Atualize para uma versão posterior a 1.15.40. Como medida paliativa temporária, restrinja o acesso à tarefa 'display' no controlador de Submissões ou evite usar os parâmetros ip search, startdate, enddate, username search e useremail search até que a atualização seja aplicada.