关键漏洞信息 漏洞信息 漏洞名称: Forms Bridge <= 4.2.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'id' Shortcode Attribute CVE编号: CVE-2026-1244 CVSS 评分: 6.4 (Medium) 公开发布时间: January 27, 2026 最后更新时间: January 28, 2026 研究员: zaim 漏洞描述 描述: Forms Bridge – Infinite integrations 插件在 'id' 短代码属性中的 'financoop_campaign' 短代码中易受存储型跨站脚本攻击。在所有版本中,包括4.2.5,由于在 forms_bridge_financoop_shortcode_error 函数中,用户提供的 'id' 参数进行了不足的输入清理和输出转义,这使得具有Contributor级别权限及以上的认证攻击者能够注入任意网络脚本,这些脚本会在用户访问注入页面时执行。 漏洞细节 软件类型: 插件 软件Slug: forms-bridge 已修复: Yes 修复措施: 更新到4.3.0或更新的已修复版本 受影响版本: <= 4.2.5 已修复版本: 4.3.0 其他信息 这条记录包含受版权保护的内容。 版权归2012-2026 Defiant Inc.和1999-2026 The MITRE Corporation所有。 联系信息添加或发现任何错误,请联系 wfi-support@wordfence.com。