CVE-2026-5113 in Gravity Forms Plugininformação

Sumário

de VulDB • 02/06/2026

O plugin Gravity Forms para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) via inputs ocultos do campo Consentimento nas versões até a 2.10.0, inclusive. Isso ocorre devido a um mecanismo de validação de estado defeituoso que falha de forma aberta (fails open) quando a entrada é sanitizada por wp_kses(), combinado com uma falta de escape de saída (output escaping) insuficiente. A lógica de validação de estado cria dois hashes (entrada bruta e entrada sanitizada por wp_kses()) e falha na validação apenas se AMBOS os hashes não corresponderem ao estado original. Quando um atacante injeta payloads de XSS usando tags removidas por wp_kses() (como <script>), o hash sanitizado corresponde enquanto o valor malicioso bruto é preservado e salvo no banco de dados. Quando os administradores visualizam a página da Lista de Entradas, o rótulo de consentimento malicioso armazenado é recuperado e exibido sem escape, fazendo com que o payload de XSS seja executado. Isso permite que atacantes não autenticados injetem scripts web arbitrários nas entradas, que serão executados sempre que um administrador autenticado acessar a página da lista de entradas.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

29/03/2026

Divulgação

02/05/2026

Moderação

aceite

Entrada

VDB-360810

CPE

pronto

EPSS

0.00015

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5113
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5113
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5113/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!