CVE-2026-3330

Name: CVE-2026-3330 — Vulnerability Record
Brand: Quanteta Data Lab
SKU: CVE-2026-3330

MEDIUM

CVSS v3.1: 4.9

ネットワーク操作不要SQL Injectionベンダー勧告の参照

出典データ取得時点: 2026-04-17 06:05:21 UTC

概要

深刻度: MEDIUM
CVSS: 4.9 v3.1 · NVD
EPSS: このCVEはFIRST.orgからEPSSが提供されていません
CISA KEV: 非該当
タイプ: SQL Injection · NVD CWE
攻撃条件（CVSSベクター）: ネットワーク操作不要 · 出典: NVD ベクター
公開日: 2026-04-17 · 更新日: 2026-04-17
参照情報: 参照情報へ移動 (8)

CVSS / EPSS / KEV

CVSS v3.1 4.9 / 10 MEDIUM 出典: NVD

EPSS — このCVEはFIRST.orgからEPSSが提供されていません出典: FIRST.org

CISA KEV 非該当出典: CISA

出典 — CVSS: NVD · EPSS: FIRST.org · KEV: CISA. データと出典

説明

The Form Maker by 10Web plugin for WordPress is vulnerable to SQL Injection via the 'ip_search', 'startdate', 'enddate', 'username_search', and 'useremail_search' parameters in all versions up to, and including, 1.15.40. This is due to the `WDW_FM_Library::validate_data()` method calling `stripslashes()` on user input (removing WordPress's `wp_magic_quotes()` protection) and the `FMModelSubmissions_fm::get_labels_parameters()` function directly concatenating user-supplied values into SQL queries without using `$wpdb->prepare()`. This makes it possible for authenticated attackers, with Administrator-level access and above, to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database. Additionally, the Submissions controller skips nonce verification for the `display` task, which means this vulnerability can be triggered via CSRF by tricking an administrator into clicking a crafted link.

レコード詳細

CVE ID: CVE-2026-3330
CVSS (v3.1): 4.9 (MEDIUM)
ベクター: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
悪用可能性サブスコア: 1.2
影響度サブスコア: 3.6
CISA KEV: 非該当
脆弱性タイプ (CWE): CWE-89
影響構成数 (CPE): 0
公開日: 2026-04-17
更新日: 2026-04-17
ステータス: Received

参照情報

NVDが列挙した参照URLを、リンクのホスト・パターンに対する機械的な一致でグループ化したもの。ラベルはリンクの種別のみを示します。

← 全レコードへ戻る

CVE-2026-3330

概要

CVSS / EPSS / KEV

説明

レコード詳細

参照情報

関連レコード

同じ脆弱性タイプ (CWE)

同じ年に公開