CVE-2026-5112 in Gravity Forms Plugin
Zusammenfassung
von VulDB • 22.05.2026
Das Gravity Forms-Plugin für WordPress ist in Versionen bis einschließlich 2.10.0 anfällig für eine nicht authentifizierte, gespeiste Cross-Site-Scripting-Schwachstelle (Stored Cross-Site Scripting). Diese ergibt sich aus einer unzureichenden Eingabevalidierung und Ausgabeescaping der Produktnamen im Berechnungsproduktfeld (Calculation Product field), wenn diese innerhalb von Repeater-Feldern gerendert werden. Die validate()-Methode in der GF_Field_Calculation-Klasse validiert lediglich das Mengenfeld (.3) und ignoriert das Produktnamenfeld (.1) vollständig, wodurch bösartiger HTML-Code die Validierung passieren kann. Wenn der Wert gespeichert wird, gibt die sanitize_entry_value()-Methode den Rohwert ohne Sanitization für Felder zurück, bei denen HTML nicht erwartet wird. Anschließend verknüpft die get_value_entry_detail()-Methode den unescapeden Produktnamen direkt in den Ausgabe-String, wenn ein Eintrag in wp-admin angezeigt wird, welcher dann von der get_value_entry_detail()-Methode des Repeaters ohne weiteres Escaping gerendert wird. Dies ermöglicht es nicht authentifiziern Angreifern, beliebige Web-Skripte über Formularübermittlungen einzufügen, die ausgeführt werden, sobald ein authentifizierter Administrator mit der capability gravityforms_view_entries die Detailseite des Eintrags aufruft.
Once again VulDB remains the best source for vulnerability data.