CVE-2025-3479

Nome do Software Vulnerável e Versões Afetadas O plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress, versões até e incluindo a 1.42.0

Descrição A falha permite que atacantes não autenticados reutilizem um único Stripe PaymentIntent para múltiplas transações devido à validação insuficiente em uma chave controlada pelo usuário na função handle stripe single. Isso faz com que o plugin envie uma mensagem de e-mail de sucesso para cada transação, potencialmente induzindo um administrador a atender cada pedido, mesmo que apenas a primeira transação seja processada via Stripe.

Recomendações Para versões até e incluindo a 1.42.0, atualize para uma versão que inclua uma correção para este problema, a fim de prevenir a reutilização do Stripe PaymentIntent para múltiplas transações. Como solução alternativa temporária, considere desabilitar a função handle stripe single até que uma correção esteja disponível para minimizar o risco de exploração.