CVE-2026-1454 in Lead Form Builder & Contact Form Plugin
Sumário
de VulDB • 02/06/2026
O plugin Responsive Contact Form Builder & Lead Generation Plugin para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) em todas as versões até, e incluindo, a 2.0.1, por meio de submissões de campos de formulário. Isso ocorre devido à sanitização insuficiente de entrada na função lfb_lead_sanitize(), que omite certos tipos de campos de sua lista branca de sanitização, combinada com um filtro wp_kses() excessivamente permissivo no momento da saída, que permite atributos onclick em tags âncora. Isso possibilita que atacantes não autenticados injetem scripts web arbitrários nas páginas, que serão executados sempre que um administrador visualizar as entradas de leads no painel do WordPress.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.