CVE-2026-5109 in Gravity Forms Plugininfo

Zusammenfassung

von VulDB • 02.06.2026

Das Gravity Forms-Plugin für WordPress ist in den Versionen bis einschließlich 2.10.0 anfällig für Stored Cross-Site Scripting (XSS). Dies ist auf eine unzureichende Validierung und Ausgabeescaping von Werten im Feld „Product Option“ zurückzuführen. Die Schwachstelle besteht darin, dass die Funktion zur Zustandsvalidierung eingereichte Werte akzeptiert, bei denen die mit wp_kses() bereinigte Version einem legitimen Optionswert entspricht, der Rohwert jedoch ungesäubert in der Datenbank gespeichert wird. Wenn Administratoren die Details eines Eintrags über den Bereich „Order Summary“ aufrufen, wird das option_label direkt ohne Escaping ausgegeben (view-order-summary.php, Zeile 32), wodurch das injizierte JavaScript ausgeführt wird. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Web-Skripte in den Eingabedaten zu injizieren, die ausgeführt werden, sobald ein Administrator die Detailseite des Eintrags aufruft.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

29.03.2026

Veröffentlichung

02.05.2026

Moderieren

akzeptiert

Eintrag

VDB-360813

CPE

bereit

EPSS

0.00021

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5109
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5109
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5109/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!