Plateforme
wordpress
Composant
gravityforms
Corrigé dans
2.9.29
Une vulnérabilité de Cross-Site Scripting (XSS) stocké a été découverte dans le plugin Gravity Forms pour WordPress. Cette faille, présente dans les versions de 0.0.0 à 2.9.28.1 incluses, permet à un attaquant d'injecter du code malveillant. L'impact peut être significatif, allant du vol de données sensibles à l'exécution de code arbitraire sur le serveur. La mise à jour vers la version 2.9.29 corrige cette vulnérabilité.
L'exploitation de cette vulnérabilité XSS stocké permet à un attaquant authentifié de créer des formulaires malveillants. Le manque d'autorisations sur l'endpoint createfromtemplate permet à n'importe quel utilisateur authentifié de créer des formulaires, contournant ainsi les contrôles d'accès. Ensuite, l'absence de sanitisation adéquate des données saisies et le manque d'échappement lors de l'affichage du titre du formulaire dans le Form Switcher (via l'attribut title) permettent d'injecter du code JavaScript malveillant. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, ou même modifier le contenu du site web.
Cette vulnérabilité a été rendue publique le 11 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Des preuves de concept (PoC) pourraient être disponibles publiquement, ce qui pourrait augmenter le risque d'exploitation à l'avenir. La complexité de l'exploitation pourrait limiter son adoption par des acteurs malveillants moins sophistiqués.
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour Gravity Forms vers la version 2.9.29 ou supérieure. En attendant, des mesures d'atténuation peuvent être prises. Il est recommandé de restreindre l'accès à l'endpoint createfromtemplate aux seuls administrateurs. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes. Vérifiez également les plugins et thèmes tiers pour détecter d'éventuelles vulnérabilités similaires. Après la mise à jour, vérifiez l'intégrité des formulaires existants et assurez-vous qu'aucun code malveillant n'a été injecté.
Mettre à jour vers la version 2.9.29, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3492 is a Stored Cross-Site Scripting vulnerability in the Gravity Forms WordPress plugin, allowing authenticated users to inject malicious scripts. It affects versions 0.0.0–2.9.28.1.
If you are using Gravity Forms version 0.0.0 through 2.9.28.1 on your WordPress site, you are potentially affected by this XSS vulnerability.
Upgrade Gravity Forms to version 2.9.29 or later to resolve the vulnerability. Implement temporary workarounds like restricting access to the form creation endpoint if immediate upgrading isn't possible.
As of the current assessment, there are no reports of CVE-2026-3492 being actively exploited in the wild, but it's crucial to apply the patch promptly.
Refer to the official Gravity Forms website and WordPress security announcements for the latest information and advisory regarding CVE-2026-3492: [https://gravityforms.com/news/security/](https://gravityforms.com/news/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.