Anhcd05

**Nome do Software Vulnerável e Versões Afetadas** Forminator Forms versões anteriores a 1.52.0 **Descrição** A função `processRequest()` em `Forminator Admin Module Edit Page` não verifica se o usuário atual possui a capacidade `manage forminator modules` antes de executar ações sensíveis de gerenciamento de módulos. Essas ações incluem exportação, exclusão, clonagem, exclusão de entradas e alteração do status de publicação/rascunho. O sistema baseia-se apenas em uma verificação de nonce usando a variável `forminator form request`, que está disponível no objeto JavaScript global `forminatorData` em todas as páginas de administração. Como a função é acionada durante o hook de ação `admin menu` antes que as verificações de capacidade ao nível de página sejam aplicadas, atacantes autenticados com funções de baixo privilégio, como assinantes, podem criar requisições POST para exportar configurações internas (incluindo credenciais de integração e roteamento de notificações), excluir módulos ou remover todos os envios e votos. **Recomendações** Atualize para uma versão posterior a 1.51.1.

**Nome do Software Vulnerável e Versões Afetadas** Forminator Forms versões anteriores a 1.53.1 **Descrição** O plugin contém uma falha de autorização ausente onde a função `listen for saving export schedule()` em `library/class-export.php` não realiza uma verificação de capacidade antes de salvar as configurações de exportação agendada. Isso permite que atacantes autenticados com acesso de nível de assinante configurem um trabalho de exportação agendada que envia todos os envios de formulários para um endereço de e-mail sob seu controle, resultando na exfiltração de dados sensíveis. **Recomendações** Atualize o plugin para uma versão posterior a 1.53.0. Como medida paliativa temporária, restrinja o acesso à função `listen for saving export schedule()` para minimizar o risco de exploração.