CVE-2026-1454 in Lead Form Builder & Contact Form Plugininformação

Sumário

de VulDB • 02/06/2026

O plugin Responsive Contact Form Builder & Lead Generation Plugin para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) em todas as versões até, e incluindo, a 2.0.1, por meio de submissões de campos de formulário. Isso ocorre devido à sanitização insuficiente de entrada na função lfb_lead_sanitize(), que omite certos tipos de campos de sua lista branca de sanitização, combinada com um filtro wp_kses() excessivamente permissivo no momento da saída, que permite atributos onclick em tags âncora. Isso possibilita que atacantes não autenticados injetem scripts web arbitrários nas páginas, que serão executados sempre que um administrador visualizar as entradas de leads no painel do WordPress.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

Wordfence

Reservar

26/01/2026

Divulgação

11/03/2026

Moderação

aceite

Entrada

VDB-350367

CPE

pronto

EPSS

0.00241

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!