CVE-2026-1454 in Lead Form Builder & Contact Form Plugin
الملخص
بحسب VulDB • 13/06/2026
يحتوي مكون "Responsive Contact Form Builder & Lead Generation Plugin" الإضافي لـ WordPress على ثغرة من نوع Stored Cross-Site Scripting (XSS) في جميع الإصدارات حتى 2.0.1 وشاملة لها، وذلك عبر إرسال بيانات حقول النماذج. وتعود هذه الثغرة إلى عدم كفاية تنقية المدخلات (input sanitization) في الدالة `lfb_lead_sanitize()` التي تستثني بعض أنواع الحقول من قائمة السماح الخاصة بتنقيتها، مقترنةً بفلتر `wp_kses()` المتساهل للغاية عند الإخراج والذي يسمح بوجود سمات `onclick` على وسوم الروابط. وهذا يتيح للمهاجمين غير المصادق عليهم حقن نصوص برمجية ويب عشوائية في الصفحات التي سيتم تنفيذها كلما قام مسؤول بعرض إدخالات العملاء المحتملين (lead entries) في لوحة تحكم WordPress.
If you want to get best quality of vulnerability data, you may have to visit VulDB.