平台
wordpress
组件
gravityforms
修复版本
2.9.29
CVE-2026-3492 描述了 WordPress 插件 Gravity Forms 中的存储型跨站脚本 (XSS) 漏洞。该漏洞源于 createfromtemplate AJAX 端点授权不足、输入验证不充分以及输出转义缺失等问题,允许经过身份验证的用户创建表单并注入恶意脚本。此漏洞影响 Gravity Forms 的 0.0.0 至 2.9.28.1 版本,已于 2.9.29 版本修复。
攻击者可以利用此 XSS 漏洞在受影响的 WordPress 网站上执行任意 JavaScript 代码。攻击者可以通过创建包含恶意脚本的表单,然后诱使用户访问该表单来实施攻击。恶意脚本可能被用于窃取用户 Cookie、重定向用户到恶意网站或执行其他恶意操作。由于该漏洞影响表单标题的渲染,攻击者可以利用 Form Switcher 下拉菜单来传播恶意代码,从而影响更多用户。这种攻击方式可能导致敏感信息泄露、用户账号被盗用,甚至网站被完全控制。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于 XSS 漏洞的普遍性,建议尽快采取缓解措施。该漏洞的公开披露日期为 2026-03-11。建议关注 CISA KEV 目录,以获取有关此漏洞的最新信息。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Gravity Forms 插件升级至 2.9.29 或更高版本。如果升级导致网站出现问题,可以考虑回滚到之前的稳定版本,但应尽快升级。此外,可以实施 Web 应用防火墙 (WAF) 规则,以阻止对 createfromtemplate 端点的恶意请求。在 WordPress 中,可以使用安全插件来增强输入验证和输出转义,以减少 XSS 漏洞的风险。监控 WordPress 日志,查找可疑的 JavaScript 执行行为。
更新到 2.9.29 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-3492 是 WordPress 插件 Gravity Forms 中的存储型跨站脚本 (XSS) 漏洞,允许攻击者在用户界面中注入恶意脚本。
如果您正在使用 Gravity Forms 的 0.0.0 至 2.9.28.1 版本,则您可能受到影响。请立即升级至 2.9.29 或更高版本。
将 Gravity Forms 插件升级至 2.9.29 或更高版本。如果升级导致问题,请考虑回滚并尽快升级。
虽然目前尚未观察到大规模利用,但由于 XSS 漏洞的普遍性,建议尽快采取缓解措施。
请访问 Gravity Forms 官方网站或 WordPress 插件目录,查找有关 CVE-2026-3492 的安全公告。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。