CVE-2026-12997 in Gravity Forms Plugin情報

要約

〜によって VulDB • 2026年07月15日

WordPress用プラグイン「Gravity Forms」の2.10.4以前の全バージョンには、'gform_uploaded_files'パラメータを介したディレクトリトラバーサルの脆弱性が存在します。これにより、認証されていない攻撃者はサーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれている可能性があります。この悪用では、対象となるフォームがログインを強制していない(つまり公開されている)必要があり、これによって認証されない攻撃者がprocess_send_resume_linkエンドポイントにアクセスし、トラバーサルの結果取得したファイルを通知添付として受信するための任意の宛先メールアドレスを提供できます。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

Wordfence

予約する

2026年06月23日

モデレーション

承諾済み

エントリ

VDB-379364

EPSS

0.00000

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Interested in the pricing of exploits?

See the underground prices here!