CVE-2026-5113

Nome do Software Vulnerável e Versões Afetadas Gravity Forms versões anteriores a 2.10.1

Descrição O plugin está sujeito a Cross-Site Scripting (XSS) Armazenado por meio de entradas ocultas no campo de Consentimento. Isso ocorre devido a um mecanismo de validação de estado falho que falha ao abrir quando a entrada é sanitizada por wp kses(), combinado com a escape de saída insuficiente. A lógica de validação gera dois hashes (um para a entrada bruta e outro para a entrada sanitizada por wp kses()) e só falha se ambos os hashes diferirem do estado original. Um invasor não autenticado pode injetar payloads de XSS usando tags removidas pelo wp kses(), como <svg>, permitindo que o valor bruto malicioso seja salvo no banco de dados. O payload é executado quando um administrador autenticado visualiza a página Entries List, pois o rótulo de consentimento armazenado é exibido sem a escape adequada.

Recomendações Atualize para uma versão posterior a 2.10.0.