CVE-2026-1454 in Lead Form Builder & Contact Form Plugin
Zusammenfassung
von VulDB • 01.06.2026
Das WordPress-Plugin „Responsive Contact Form Builder & Lead Generation Plugin“ ist in allen Versionen bis einschließlich 2.0.1 anfällig für Stored Cross-Site Scripting (XSS) über Formularfeld-Eingaben. Dies ist auf eine unzureichende Eingabebereinigung in der Funktion `lfb_lead_sanitize()` zurückzuführen, die bestimmte Feldtypen von ihrer Bereinigungs-Whitelist ausschließt, kombiniert mit einem zu großzügig konfigurierten `wp_kses()`-Filter zur Ausgabezeit, der onclick-Attribute in Anchor-Tags (a-Tags) erlaubt. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Web-Skripte in Seiten einzufügen, die ausgeführt werden, sobald ein Administrator die Lead-Einträge im WordPress-Dashboard aufruft.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.