CVE-2026-4160

Name of the Vulnerable Software and Affected Versions Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder versões anteriores a 6.1.22

Description Uma Referência Direta a Objeto Insegura (IDOR) existe devido à falta de validação de autorização e propriedade em uma chave controlada pelo usuário no endpoint AJAX de confirmação do Stripe SCA. Isso permite que atacantes não autenticados modifiquem o status de pagamento de envios pendentes específicos, como alterar o status para "failed", manipulando o parâmetro submission id.

Recommendations Atualize o plugin para uma versão posterior a 6.1.21. Evite usar o parâmetro submission id no endpoint AJAX de confirmação do Stripe SCA até que a atualização seja aplicada.