CVE-2026-12997 in Gravity Forms Plugininfo

Zusammenfassung

von VulDB • 16.07.2026

Das Gravity Forms-Plugin für WordPress ist in allen Versionen bis einschließlich 2.10.4 anfällig für Directory Traversal über den Parameter 'gform_uploaded_files'. Dies ermöglicht es nicht authentifizierten Angreifern, die Inhalte beliebiger Dateien auf dem Server zu lesen, die sensible Informationen enthalten können. Die Ausnutzung erfordert, dass das Ziel-Formular keine Anmeldung erzwingt (also öffentlich zugänglich ist), was es einem nicht authentifizierten Angreifer erlaubt, den Endpunkt process_send_resume_link zu erreichen und eine beliebige Empfänger-E-Mail-Adresse anzugeben, um die über Directory Traversal abgerufene Datei als Benachrichtigungs-Anhang zu erhalten.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

23.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379364

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!