PT-2026-36978 · WordPress · Forminator
Kittipat Jitphonchana
·
Publicado
2026-05-05
·
Atualizado
2026-05-05
·
CVE-2026-2729
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Forminator plugin for WordPress versões anteriores a 1.53.0
Descrição
Existe uma falha de bypass de autorização porque o plugin não verifica adequadamente a autorização do usuário ao processar identificadores de Stripe PaymentIntent no fluxo de pagamento público. Isso permite que atacantes não autenticados enviem formulários pagos de alto valor como concluídos, reutilizando um Stripe PaymentIntent de baixo valor previamente bem-sucedido, resultando em condições de bypass de pagamento ou subpagamento.
Recomendações
Atualize o plugin para uma versão posterior a 1.52.0.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Forminator