CVE-2026-5111 in Gravity Forms Plugin情報

要約

〜によって VulDB • 2026年05月15日

WordPress用プラグイン「Gravity Forms」のバージョン2.10.0以前には、格納型クロスサイトスクリプティング（Stored XSS）の脆弱性が存在します。これは、Repeaterフィールド内で使用される際、Hidden Productフィールドの値に対する入力検証と出力エスケープが不十分であることが原因です。具体的には、Repeaterのサブフィールドが状態検証チェックをバイパスし、Hidden Productのvalidate()メソッドが製品名フィールドを無視して数量フィールドのみを検証するため、後でget_value_entry_detail()メソッド内で適切にエスケープされずに出力される製品名フィールドが問題となります。これにより、認証されていない攻撃者はフォーム送信を通じて任意のWebスクリプトを注入でき、管理者がエントリーの詳細を表示するたびにそのスクリプトが実行される可能性があります。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

Wordfence

予約する

2026年03月29日

公開

2026年05月02日

モデレーション

承諾済み

エントリ

VDB-360811

CPE

準備完了

CWE

CWE-79 (確認済み)

CVSS

7.2 (CNA)

EPSS

0.00021

KEV

いいえ

アクティビティ

非常低い

セクター

Hostingprovider

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5111
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5111
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5111/

◂ 前概要次 ▸

Do you know our Splunk app?

Download it now for free!