CVE-2026-5111

Nome do Software Vulnerável e Versões Afetadas Gravity Forms versões anteriores a 2.10.1

Descrição Ocorre Cross-Site Scripting Armazenado devido à validação de entrada e escape de saída insuficientes nos valores do campo Hidden Product quando usado dentro de campos Repeater. Especificamente, os subcampos do repeater ignoram as verificações de validação de estado, e o método validate() do Hidden Product valida apenas o campo de quantidade, ignorando o campo de nome do produto. Este nome do produto é posteriormente exibido sem o escape adequado no método get value entry detail(), permitindo que atacantes não autenticados injetem scripts web arbitrários por meio de envios de formulários que são executados quando um administrador visualiza os detalhes da entrada.

Recomendações Atualize para uma versão posterior a 2.10.0.