CVE-2026-1454 in Lead Form Builder & Contact Form Plugin
Riassunto
di VulDB • 15/06/2026
Il plugin Responsive Contact Form Builder & Lead Generation Plugin per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) in tutte le versioni fino alla 2.0.1, incluse, tramite l'invio di dati nei campi del modulo. Ciò è dovuto a una sanitizzazione insufficiente degli input nella funzione `lfb_lead_sanitize()`, che esclude alcuni tipi di campo dalla sua whitelist di sanitizzazione, combinata con un filtro `wp_kses()` troppo permissivo in fase di output, che consente gli attributi onclick sui tag anchor (ancora). Ciò rende possibile per attaccanti non autenticati iniettare script web arbitrari nelle pagine, che verranno eseguiti ogni volta che un amministratore visualizza le voci dei lead nella dashboard di WordPress.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.