Vulnerabilidad en Calculated Fields Form de codepeople (CVE-2026-3986)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
13/03/2026
Última modificación:
16/03/2026
Descripción
El plugin Calculated Fields Form para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración del formulario en todas las versiones hasta la 5.4.5.0, inclusive. Esto se debe a comprobaciones de capacidad insuficientes en el gestor de guardado de la configuración del formulario y a una sanitización de entrada insuficiente del campo 'fcontent' en los tipos de campo 'fhtml'. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/calculated-fields-form/tags/5.4.4.5/cp_calculatedfieldsf_free.php#L131
- https://plugins.trac.wordpress.org/browser/calculated-fields-form/tags/5.4.4.5/inc/cpcff_form.inc.php#L326
- https://plugins.trac.wordpress.org/browser/calculated-fields-form/tags/5.4.4.5/inc/cpcff_page_builders.inc.php#L41
- https://plugins.trac.wordpress.org/browser/calculated-fields-form/trunk/cp_calculatedfieldsf_free.php#L131
- https://www.wordfence.com/threat-intel/vulnerabilities/id/d650261a-ec0a-4538-ad59-0589712702fa?source=cve