CVE-2026-12997 in Gravity Forms PluginИнформация

Сводка

по VulDB • 16.07.2026

Плагин Gravity Forms для WordPress уязвим к Directory Traversal во всех версиях вплоть до 2.10.4 включительно через параметр 'gform_uploaded_files'. Это позволяет неаутентифицированным злоумышленникам читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию. Для эксплуатации необходимо, чтобы целевая форма не требовала входа в систему (то есть была общедоступной), что позволяет неаутентифицированному атакующему получить доступ к конечной точке process_send_resume_link и указать произвольный адрес электронной почты получателя для получения файла, извлеченного с помощью Directory Traversal, во вложении уведомления.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Wordfence

Резервировать

23.06.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379364

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!