Plataforma
wordpress
Componente
gravityforms
Corrigido em
2.9.29
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin Gravity Forms para WordPress. Essa falha, presente em versões de 0.0.0 até 2.9.28.1, permite que atacantes injetem scripts maliciosos em páginas web. A exploração bem-sucedida pode levar ao roubo de informações confidenciais, redirecionamento de usuários ou até mesmo ao controle da aplicação. A correção para esta vulnerabilidade está disponível na versão 2.9.29.
A vulnerabilidade XSS no Gravity Forms permite que um atacante, após autenticação, execute código JavaScript arbitrário no contexto do navegador de outros usuários. Isso pode ser explorado para roubar cookies de sessão, permitindo que o atacante se passe por usuários legítimos e acesse dados confidenciais. Além disso, o atacante pode redirecionar usuários para sites maliciosos, exibir pop-ups falsos ou modificar o conteúdo da página. A falta de escaping adequado no título do formulário, combinado com a ausência de validação de autorização no endpoint createfromtemplate, amplifica o impacto da vulnerabilidade, tornando-a particularmente perigosa para sites que utilizam Gravity Forms para coletar informações sensíveis.
A vulnerabilidade foi divulgada em 2026-03-11. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a gravidade da vulnerabilidade (CVSS 6.4) indica um risco moderado. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Gravity Forms para a versão 2.9.29 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a aplicação de regras de firewall de aplicação web (WAF) para bloquear payloads XSS conhecidos. Além disso, revise as permissões de usuário para garantir que apenas usuários autorizados possam criar formulários. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de criação de formulários por usuários não autorizados. Após a atualização, confirme a correção verificando se o título do formulário é devidamente escapado ao ser exibido no Form Switcher.
Atualize para a versão 2.9.29, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3492 is a Stored Cross-Site Scripting vulnerability in the Gravity Forms WordPress plugin, allowing authenticated users to inject malicious scripts. It affects versions 0.0.0–2.9.28.1.
If you are using Gravity Forms version 0.0.0 through 2.9.28.1 on your WordPress site, you are potentially affected by this XSS vulnerability.
Upgrade Gravity Forms to version 2.9.29 or later to resolve the vulnerability. Implement temporary workarounds like restricting access to the form creation endpoint if immediate upgrading isn't possible.
As of the current assessment, there are no reports of CVE-2026-3492 being actively exploited in the wild, but it's crucial to apply the patch promptly.
Refer to the official Gravity Forms website and WordPress security announcements for the latest information and advisory regarding CVE-2026-3492: [https://gravityforms.com/news/security/](https://gravityforms.com/news/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.