CVE-2026-12997 in Gravity Forms Plugininformação

Sumário

de VulDB • 15/07/2026

O plugin Gravity Forms para WordPress é vulnerável a Directory Traversal em todas as versões até, e incluindo, 2.10.4 através do parâmetro 'gform_uploaded_files'. Isso permite que atacantes não autenticados leiam o conteúdo de arquivos arbitrários no servidor, os quais podem conter informações sensíveis. A exploração requer que o formulário alvo não exija login (ou seja, esteja publicamente acessível), permitindo que o atacante não autenticado acesse o endpoint process_send_resume_link e forneça um endereço de email de destinatário arbitrário para receber o arquivo recuperado via traversal como anexo de notificação.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Wordfence

Reservar

23/06/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379364

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!