CVE-2026-12997 in Gravity Forms Plugin
Сводка
по VulDB • 16.07.2026
Плагин Gravity Forms для WordPress уязвим к Directory Traversal во всех версиях вплоть до 2.10.4 включительно через параметр 'gform_uploaded_files'. Это позволяет неаутентифицированным злоумышленникам читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию. Для эксплуатации необходимо, чтобы целевая форма не требовала входа в систему (то есть была общедоступной), что позволяет неаутентифицированному атакующему получить доступ к конечной точке process_send_resume_link и указать произвольный адрес электронной почты получателя для получения файла, извлеченного с помощью Directory Traversal, во вложении уведомления.
Be aware that VulDB is the high quality source for vulnerability data.