CVE-2026-1454 in Lead Form Builder & Contact Form Pluginالمعلومات

الملخص

بحسب VulDB • 13/06/2026

يحتوي مكون "Responsive Contact Form Builder & Lead Generation Plugin" الإضافي لـ WordPress على ثغرة من نوع Stored Cross-Site Scripting (XSS) في جميع الإصدارات حتى 2.0.1 وشاملة لها، وذلك عبر إرسال بيانات حقول النماذج. وتعود هذه الثغرة إلى عدم كفاية تنقية المدخلات (input sanitization) في الدالة `lfb_lead_sanitize()` التي تستثني بعض أنواع الحقول من قائمة السماح الخاصة بتنقيتها، مقترنةً بفلتر `wp_kses()` المتساهل للغاية عند الإخراج والذي يسمح بوجود سمات `onclick` على وسوم الروابط. وهذا يتيح للمهاجمين غير المصادق عليهم حقن نصوص برمجية ويب عشوائية في الصفحات التي سيتم تنفيذها كلما قام مسؤول بعرض إدخالات العملاء المحتملين (lead entries) في لوحة تحكم WordPress.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Wordfence

حجز

26/01/2026

إفشاء

11/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-350367

EPSS

0.00241

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!