CVE-2026-1454 in Lead Form Builder & Contact Form Plugininfo

Zusammenfassung

von VulDB • 01.06.2026

Das WordPress-Plugin „Responsive Contact Form Builder & Lead Generation Plugin“ ist in allen Versionen bis einschließlich 2.0.1 anfällig für Stored Cross-Site Scripting (XSS) über Formularfeld-Eingaben. Dies ist auf eine unzureichende Eingabebereinigung in der Funktion `lfb_lead_sanitize()` zurückzuführen, die bestimmte Feldtypen von ihrer Bereinigungs-Whitelist ausschließt, kombiniert mit einem zu großzügig konfigurierten `wp_kses()`-Filter zur Ausgabezeit, der onclick-Attribute in Anchor-Tags (a-Tags) erlaubt. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Web-Skripte in Seiten einzufügen, die ausgeführt werden, sobald ein Administrator die Lead-Einträge im WordPress-Dashboard aufruft.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

26.01.2026

Veröffentlichung

11.03.2026

Moderieren

akzeptiert

Eintrag

VDB-350367

CPE

bereit

EPSS

0.00241

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!