The Gravity Forms plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Credit Card field's 'Card Type' sub-field (`input_<id>.4`) in all versions up to, and including, 2.9.30. This is due to the `get_value_entry_detail()` method in the `GF_Field_CreditCard` class outputting the card type value without escaping, combined with `get_value_save_entry()` accepting and storing unsanitized user input for the `input_<id>.4` parameter. The Card Type field is not rendered on the frontend form (it is normally derived from the card number), but the backend submission parser blindly accepts it if included in the POST request. This makes it possible for unauthenticated attackers to inject arbitrary web scripts that execute when an administrator views the form entry in the WordPress dashboard.
Gravity Forms plugin for WordPress contains a Stored XSS vulnerability in the Credit Card field's Card Type sub-field that allows unauthenticated attackers to inject malicious scripts. The vulnerability exists because user input is accepted and stored without sanitization, then output without escaping when administrators view form entries.
تحتوي إضافة Gravity Forms على ثغرة XSS مخزنة في حقل نوع بطاقة الائتمان حيث لا يتم التحقق من صحة المدخلات أو تنظيفها قبل التخزين. عندما يقوم المسؤول بعرض إدخالات النموذج في لوحة تحكم WordPress، يتم تنفيذ البرنامج النصي الضار المحقون دون تصفية. يمكن للمهاجمين غير المصرحين استغلال هذه الثغرة لتنفيذ إجراءات ضارة بصلاحيات المسؤول.
Gravity Forms plugin for WordPress contains a Stored XSS vulnerability in the Credit Card field's Card Type sub-field that allows unauthenticated attackers to inject malicious scripts. The vulnerability exists because user input is accepted and stored without sanitization, then output without escaping when administrators view form entries.
Update Gravity Forms plugin to version 2.9.31 or later immediately. If immediate patching is not possible, disable the Credit Card field functionality or restrict form submissions to authenticated users only. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in form submissions.
قم بتحديث إضافة Gravity Forms إلى الإصدار 2.9.31 أو أحدث فوراً. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل وظيفة حقل بطاقة الائتمان أو قيد إرسال النماذج للمستخدمين المصرحين فقط. قم بتطبيق قواعد جدار الحماية لتطبيقات الويب لكشف وحجب حمولات XSS في إرسالات النماذج.