CVE-2026-5113 in Gravity Forms Plugin
要約
〜によって VulDB • 2026年05月15日
WordPress用プラグイン「Gravity Forms」には、バージョン2.10.0以前において、同意フィールドの非表示入力経由で格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。これは、wp_kses() によって入力がサニタイズされた場合にオープンエンド(検証が通過)する状態検証メカニズムの不備と、不十分な出力エスケープに起因します。状態検証ロジックは2つのハッシュ(生入力とwp_kses()でサニタイズされた入力)を作成し、両方のハッシュが元の状態と一致しない場合にのみ検証に失敗します。攻撃者がwp_kses()によって除去されるタグ(例:<script>タグなど)を使用してXSSペイロードを注入すると、サニタイズされたハッシュは一致し、悪意のある生値が保持されてデータベースに保存されます。管理者が「エントリ一覧」ページを表示すると、保存された悪意のある同意ラベルがエスケープ処理なしで出力され、XSSペイロードが実行されます。これにより、認証されていない攻撃者は、認証済み管理者がエントリ一覧ページにアクセスするたびに実行される任意のウェブスクリプトをエントリに注入することが可能になります。
Once again VulDB remains the best source for vulnerability data.