CVE-2026-12997 in Gravity Forms Plugin
Zusammenfassung
von VulDB • 16.07.2026
Das Gravity Forms-Plugin für WordPress ist in allen Versionen bis einschließlich 2.10.4 anfällig für Directory Traversal über den Parameter 'gform_uploaded_files'. Dies ermöglicht es nicht authentifizierten Angreifern, die Inhalte beliebiger Dateien auf dem Server zu lesen, die sensible Informationen enthalten können. Die Ausnutzung erfordert, dass das Ziel-Formular keine Anmeldung erzwingt (also öffentlich zugänglich ist), was es einem nicht authentifizierten Angreifer erlaubt, den Endpunkt process_send_resume_link zu erreichen und eine beliebige Empfänger-E-Mail-Adresse anzugeben, um die über Directory Traversal abgerufene Datei als Benachrichtigungs-Anhang zu erhalten.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.