Platform
wordpress
Component
gravityforms
Opgelost in
2.9.29
CVE-2026-3492 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Gravity Forms plugin voor WordPress. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om kwaadaardige scripts in te voegen via formulier templates, wat kan leiden tot het stelen van gebruikersgegevens of het overnemen van accounts. De kwetsbaarheid treft versies van Gravity Forms van 0.0.0 tot en met 2.9.28.1. Een patch is beschikbaar in versie 2.9.29.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan kwaadaardige JavaScript-code injecteren in formulier templates, die vervolgens worden uitgevoerd wanneer andere gebruikers de templates bekijken of gebruiken. Dit kan leiden tot het stelen van sessiecookies, het omleiden van gebruikers naar kwaadaardige websites, of het uitvoeren van acties namens de gebruiker zonder hun toestemming. De impact is vooral groot voor websites die Gravity Forms gebruiken voor het verzamelen van gevoelige informatie, zoals persoonlijke gegevens of financiële details. De combinatie van onvoldoende autorisatiechecks, onvoldoende sanitatie en ontbrekende output escaping maakt deze kwetsbaarheid bijzonder gevaarlijk.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. De impact is verhoogd door de populariteit van de Gravity Forms plugin en het gemak waarmee XSS-aanvallen kunnen worden uitgevoerd. Er is geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar het is aannemelijk dat dit in de toekomst kan gebeuren. De kwetsbaarheid is gepubliceerd op 2026-03-11.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Gravity Forms plugin naar versie 2.9.29 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers die formulier templates kunnen maken. Implementeer een Web Application Firewall (WAF) met regels om XSS-pogingen te detecteren en te blokkeren, specifiek gericht op de createfromtemplate AJAX endpoint. Controleer de WordPress-logboeken op verdachte activiteiten, zoals ongebruikelijke AJAX-verzoeken naar dit endpoint. Na de upgrade, bevestig de correcte werking door een testformulier te maken en te controleren of de formulier titel correct wordt weergegeven zonder JavaScript-code.
Update naar versie 2.9.29, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3492 is a Stored Cross-Site Scripting vulnerability in the Gravity Forms WordPress plugin, allowing authenticated users to inject malicious scripts. It affects versions 0.0.0–2.9.28.1.
If you are using Gravity Forms version 0.0.0 through 2.9.28.1 on your WordPress site, you are potentially affected by this XSS vulnerability.
Upgrade Gravity Forms to version 2.9.29 or later to resolve the vulnerability. Implement temporary workarounds like restricting access to the form creation endpoint if immediate upgrading isn't possible.
As of the current assessment, there are no reports of CVE-2026-3492 being actively exploited in the wild, but it's crucial to apply the patch promptly.
Refer to the official Gravity Forms website and WordPress security announcements for the latest information and advisory regarding CVE-2026-3492: [https://gravityforms.com/news/security/](https://gravityforms.com/news/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.