CVE-2026-4394

Name of the Vulnerable Software and Affected Versions Plugin Gravity Forms para WordPress versões até e incluindo 2.9.30

Description O plugin Gravity Forms para WordPress é suscetível a Cross-Site Scripting Persistente através do subcampo 'Card Type' do campo 'Credit Card' (input <id>.4). Isso ocorre porque o método get value entry detail() na classe GF Field CreditCard produz a saída do valor do tipo de cartão sem escape adequado, e o método get value save entry() aceita e armazena entrada de usuário não higienizada para o parâmetro input <id>.4. O campo 'Card Type', embora normalmente não exibido no formulário frontend, é processado pelo analisador de envio do backend se incluído na solicitação POST, permitindo que invasores não autenticados injetem scripts web maliciosos que são executados quando um administrador visualiza a entrada do formulário no painel do WordPress.

Recommendations Atualize o Gravity Forms para uma versão posterior a 2.9.30.