Vulnerabilidad en boldgrid (CVE-2026-2707)

El plugin weForms para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del endpoint de envío de entradas de la API REST en todas las versiones hasta la 1.6.27, inclusive. Esto se debe a una sanitización de entrada inconsistente entre el gestor AJAX de frontend y el endpoint de la API REST. Cuando las entradas se envían a través de la API REST (`/wp-json/weforms/v1/forms/{id}/entries/`), el método `prepare_entry()` en `class-abstract-fields.php` recibe el objeto WP_REST_Request como `$args`, omitiendo el fallback `weforms_clean()` que sanitiza los datos de `$_POST` para envíos de frontend. El gestor de campo base solo aplica `trim()` al valor. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, inyecten scripts web arbitrarios en los valores de campos ocultos de las entradas de formulario a través de la API REST que se ejecutan cuando un administrador ve la página de entradas del formulario, donde los datos se renderizan usando una directiva `v-html` de Vue.js sin escape.