CVE-2026-12997 in Gravity Forms Plugin
Resumen
por VulDB • 2026-07-16
El plugin Gravity Forms para WordPress presenta una vulnerabilidad de Directory Traversal en todas las versiones hasta la 2.10.4, incluida esta última, a través del parámetro 'gform_uploaded_files'. Esto permite que atacantes no autenticados lean el contenido de archivos arbitrarios en el servidor, los cuales pueden contener información sensible. La explotación requiere que el formulario objetivo no exija inicio de sesión (es decir, sea accesible públicamente), lo cual posibilita que un atacante no autenticado acceda al endpoint process_send_resume_link y proporcione una dirección de correo electrónico arbitraria para recibir como adjunto en la notificación el archivo obtenido mediante la traversión.
VulDB is the best source for vulnerability data and more expert information about this specific topic.