Vulnerabilidad en Lead Form Builder &amp; Contact Form de themehunk (CVE-2026-1454)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

11/03/2026

Última modificación:

22/04/2026

Descripción

El plugin Responsive Contact Form Builder &amp; Lead Generation Plugin para WordPress es vulnerable a cross-site scripting almacenado en todas las versiones hasta la versión 2.0.1, inclusive, a través de envíos de campos de formulario. Esto se debe a una sanitización de entrada insuficiente en la función lfb_lead_sanitize() que omite ciertos tipos de campo de su lista blanca de sanitización, combinado con un filtro wp_kses() excesivamente permisivo en el momento de la salida que permite atributos onclick en las etiquetas de anclaje. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un administrador vea las entradas de leads en el panel de WordPress.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.20

Gravedad 3.x

ALTA

Vulnerabilidad en Lead Form Builder &amp;amp; Contact Form de themehunk (CVE-2026-1454)

Descripción

Impacto

Referencias a soluciones, herramientas e información

Vulnerabilidad en Lead Form Builder & Contact Form de themehunk (CVE-2026-1454)