Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-39440 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-23 |
| Producent | Funnelforms LLC |
| Produkt | FunnelFormsPro |
| CVSS Score | 10.0 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Podatność typu Improper Control of Generation of Code (‘Code Injection’) w produkcie FunnelFormsPro firmy Funnelforms LLC umożliwia Remote Code Inclusion. Problem dotyczy FunnelFormsPro w wersjach od n/a do 3.8.1.
Wymagane działania
Niezwłocznie zaktualizuj FunnelFormsPro do wersji wyższej niż 3.8.1, w której podatność została usunięta. Do czasu aktualizacji ogranicz dostęp do panelu administracyjnego wtyczki, monitoruj logi pod kątem nietypowych żądań i prób inkluzji zdalnych plików, oraz rozważ tymczasowe wyłączenie wtyczki na produkcji.
Kogo dotyczy?
Podatność dotyczy produktu FunnelFormsPro firmy Funnelforms LLC w wersjach do 3.8.1 włącznie. Sprawdź czy Twoja organizacja używa tej wtyczki i niezwłocznie zaktualizuj ją do wersji zawierającej poprawkę bezpieczeństwa.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
