CVE-2026-5110 CVSS 7.2 高危

CVE-2026-5110 WordPress Gravity Forms存储型XSS漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5110

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Gravity Forms Plugin

漏洞概述

WordPress的Gravity Forms插件在2.10.0及以下版本中存在未认证存储型XSS漏洞。由于Repeater字段内的SingleProduct字段缺乏足够的输入验证和输出转义，攻击者可在无需认证的情况下篡改产品名称字段，注入恶意脚本。当管理员查看受污染的表单条目时，脚本将在其浏览器中执行，可能导致账户被劫持或敏感信息泄露。

技术细节

该漏洞的核心在于Gravity Forms插件对嵌套字段处理的验证逻辑疏漏。在受影响版本中，当`SingleProduct`字段被置于`Repeater`字段内部时，系统原有的状态校验机制（`failed_state_validation()`）被绕过。具体而言，`validate_subfield()`方法在执行时，仅调用了`SingleProduct`字段的`validate()`方法，该方法仅对“数量”字段进行校验，而完全忽略了对“产品名称”字段的篡改检查。攻击者利用此缺陷，可以在无需登录的情况下，向产品名称字段注入恶意HTML/JavaScript代码。在数据持久化阶段，由于`sanitize_entry_value()`函数错误地判定该字段类型不应包含HTML，因此未对输入进行清理，直接将原始恶意数据存入数据库。漏洞的触发点位于管理后台。当管理员访问`gf_entries`页面查看受感染的表单条目时，`get_value_entry_detail()`方法会从数据库读取产品名称并直接输出至页面，未经过滤或转义。这导致存储在数据库中的XSS载荷在管理员浏览器中自动执行。

攻击链分析

STEP 1

侦查

识别使用Gravity Forms插件且版本低于2.10.1的WordPress站点。

STEP 2

载荷构建

构造包含恶意JavaScript代码的HTTP POST请求，目标指向Nested Repeater结构中的SingleProduct字段的产品名称部分。

STEP 3

利用与存储

发送恶意请求至服务器。由于`validate_subfield()`未校验产品名称且`sanitize_entry_value()`未清理输入，恶意脚本被存入数据库。

STEP 4

触发

等待管理员登录WordPress后台并访问包含该恶意条目的表单列表页面（gf_entries）。

STEP 5

执行

后台页面渲染时，`get_value_entry_detail()`输出未转义的产品名称，导致XSS载荷在管理员浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-5110 (Gravity Forms Stored XSS)
Target: Input field representing SingleProduct inside a Repeater.
-->

<form action="http://target-wordpress-site/?gf_page=preview" method="POST">
  <!-- Form ID and input structure depend on target configuration -->
  <!-- Simulating a repeater field containing a SingleProduct field -->
  <input type="hidden" name="gform_submit" value="1">
  
  <!-- Malicious payload injected into the product name field (input_1_1 represents nested structure) -->
  <input type="text" name="input_1" value="<img src=x onerror=alert(document.cookie)>">
  <input type="text" name="input_1_1" value="Product Name">
  
  <input type="submit" value="Submit to Admin">
</form>

<!--
Note: The actual request requires mapping the specific field IDs.
The vulnerability bypasses validation because the SingleProduct field
inside a Repeater does not check the name field for tampering.
-->

影响范围

Gravity Forms <= 2.10.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用Gravity Forms插件中包含Repeater和SingleProduct字段的表单功能，直到应用补丁。管理员在查看用户提交的条目时应保持警惕，避免在不知情的情况下执行潜在脚本。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表