CVE-2026-5109

Nome do Software Vulnerável e Versões Afetadas Gravity Forms versões anteriores a 2.10.1

Descrição O plugin está sujeito a Cross-Site Scripting Armazenado devido à validação insuficiente e à falta de escape na saída dos valores do campo Product Option. O problema ocorre porque a função de validação de estado aceita valores enviados onde a versão sanitizada por wp kses() corresponde a um valor de opção legítimo, mas o valor bruto não sanitizado é armazenado no banco de dados. Atacantes não autenticados podem injetar scripts web arbitrários nos dados de entrada. Esses scripts são executados quando um administrador visualiza os detalhes da entrada na seção Order Summary, especificamente onde o option label é exibido sem escape no arquivo 'view-order-summary.php' na linha 32.

Recomendações Atualize para uma versão posterior a 2.10.0.