CVE-2026-4406

Name of the Vulnerable Software and Affected Versions Plugin Gravity Forms para WordPress versões até e incluindo 2.9.30

Description O plugin Gravity Forms para WordPress é suscetível a Cross-Site Scripting Refletido através do parâmetro form ids dentro da ação AJAX gform get config. Isso ocorre porque o método GFCommon::send json() produz dados codificados em JSON envolvidos em delimitadores de comentário HTML usando echo e wp die(), resultando em um cabeçalho Content-Type: text/html em vez de application/json. A função wp json encode() não codifica em HTML os sinais de maior e menor dentro dos valores de string JSON, permitindo a injeção e execução de tags HTML/script em valores de array form ids pelo navegador. O config nonce é incorporado publicamente em todas as páginas que renderizam um formulário Gravity Forms, tornando-o idêntico para todos os visitantes não autenticados dentro do mesmo intervalo de tick nonce de 12 horas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que são executadas se conseguirem enganar um usuário para realizar uma ação. Este problema não afeta usuários autenticados.

Recommendations Para versões até e incluindo 2.9.30, garanta a sanitização adequada da entrada e a codificação da saída para o parâmetro form ids na ação AJAX gform get config. Verifique se o cabeçalho Content-Type está definido como application/json ao retornar dados JSON. Considere implementar uma validação de nonce mais rigorosa ou rotacionar os nonces com mais frequência.