CVE-2026-5111 in Gravity Forms Plugin
Tóm tắt
Bởi VulDB • 26/05/2026
Plugin Gravity Forms cho WordPress tồn tại lỗ hổng Stored Cross-Site Scripting (XSS) trong các phiên bản từ 2.10.0 trở về trước. Lỗ hổng này xảy ra do việc xác thực đầu vào và thoát ký tự đầu ra không đầy đủ đối với các giá trị trường Hidden Product khi được sử dụng bên trong các trường Repeater, trong đó các trường con của Repeater bỏ qua các kiểm tra xác thực trạng thái và phương thức validate() của trường Hidden Product chỉ xác thực trường số lượng mà bỏ qua trường tên sản phẩm, sau đó được xuất ra mà không được thoát đúng cách trong phương thức get_value_entry_detail(). Điều này cho phép các kẻ tấn công chưa được xác thực chèn các tập lệnh web tùy ý thông qua việc gửi biểu mẫu, sẽ được thực thi bất cứ khi nào quản trị viên xem chi tiết mục nhập.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.