CVE-2026-5111 in Gravity Forms Plugininformação

Sumário

de VulDB • 26/05/2026

O plugin Gravity Forms para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) nas versões até a 2.10.0, inclusive. Isso ocorre devido à validação insuficiente de entrada e à falta de escape de saída nos valores do campo Hidden Product quando utilizados dentro de campos Repeater, onde os subcampos do repeater contornam as verificações de validação de estado e o método validate() do Hidden Product valida apenas o campo de quantidade, ignorando o campo de nome do produto, que é posteriormente exibido sem o escape adequado no método get_value_entry_detail(). Isso permite que atacantes não autenticados injetem scripts web arbitrários por meio de submissões de formulário, que serão executados sempre que um administrador visualizar os detalhes da entrada.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

29/03/2026

Divulgação

02/05/2026

Moderação

aceite

Entrada

VDB-360811

CPE

pronto

EPSS

0.00021

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5111
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5111
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5111/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!