CVE-2026-12997 in Gravity Forms Plugin
요약
\~에 의해 VulDB • 2026. 07. 16.
WordPress용 Gravity Forms 플러그인은 2.10.4 버전까지 모든 버전에서 'gform_uploaded_files' 매개변수를 통해 디렉토리 트래버설 취약점이 존재합니다. 이로 인해 인증되지 않은 공격자가 서버의 임의 파일 내용을 읽을 수 있으며, 해당 파일에는 민감한 정보가 포함될 수 있습니다. 악용을 위해서는 대상 폼이 로그인 요구사항을 적용하지 않아 공개적으로 접근 가능해야 하며, 이를 통해 인증되지 않은 공격자는 process_send_resume_link 엔드포인트에 도달하여 트래버설로 검색된 파일을 알림 첨부파일로 받을 임의 수신자 이메일 주소를 제공할 수 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.