CVE-2026-8901

Nome do Software Vulnerável e Versões Afetadas Integration for Freshsales – Contact Form 7, WPForms, Elementor, Gravity Forms and More plugin for WordPress versões anteriores a 1.0.16

Descrição A sanitização insuficiente de entrada e a a escapagem de saída inadequada permitem que atacantes não autenticados realizem Stored Cross-Site Scripting (XSS), que é um método de injetar scripts maliciosos em uma aplicação web que são então armazenados e executados no navegador de outros usuários. O problema ocorre por meio de dados de envio de formulários. O payload injetado é executado quando uma chamada de API de CRM para um formulário enviado falha e um administrador visualiza o modal de detalhes do log de erros no painel de administração do WordPress.

Recomendações Atualize o plugin para uma versão posterior a 1.0.15.