CVE-2026-6222

Nome do Software Vulnerável e Versões Afetadas Forminator Forms versões anteriores a 1.52.0

Descrição A função processRequest() em Forminator Admin Module Edit Page não verifica se o usuário atual possui a capacidade manage forminator modules antes de executar ações sensíveis de gerenciamento de módulos. Essas ações incluem exportação, exclusão, clonagem, exclusão de entradas e alteração do status de publicação/rascunho. O sistema baseia-se apenas em uma verificação de nonce usando a variável forminator form request, que está disponível no objeto JavaScript global forminatorData em todas as páginas de administração. Como a função é acionada durante o hook de ação admin menu antes que as verificações de capacidade ao nível de página sejam aplicadas, atacantes autenticados com funções de baixo privilégio, como assinantes, podem criar requisições POST para exportar configurações internas (incluindo credenciais de integração e roteamento de notificações), excluir módulos ou remover todos os envios e votos.

Recomendações Atualize para uma versão posterior a 1.51.1.