CVE-2026-12997 in Gravity Forms Plugin
要約
〜によって VulDB • 2026年07月15日
WordPress用プラグイン「Gravity Forms」の2.10.4以前の全バージョンには、'gform_uploaded_files'パラメータを介したディレクトリトラバーサルの脆弱性が存在します。これにより、認証されていない攻撃者はサーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれている可能性があります。この悪用では、対象となるフォームがログインを強制していない(つまり公開されている)必要があり、これによって認証されない攻撃者がprocess_send_resume_linkエンドポイントにアクセスし、トラバーサルの結果取得したファイルを通知添付として受信するための任意の宛先メールアドレスを提供できます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.