PT-2026-38339 · WordPress · Forminator Forms
Anhcd05
·
Publicado
2026-05-07
·
Atualizado
2026-05-07
·
CVE-2026-6214
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Forminator Forms versões anteriores a 1.53.1
Descrição
O plugin contém uma falha de autorização ausente onde a função
listen for saving export schedule() em library/class-export.php não realiza uma verificação de capacidade antes de salvar as configurações de exportação agendada. Isso permite que atacantes autenticados com acesso de nível de assinante configurem um trabalho de exportação agendada que envia todos os envios de formulários para um endereço de e-mail sob seu controle, resultando na exfiltração de dados sensíveis.Recomendações
Atualize o plugin para uma versão posterior a 1.53.0.
Como medida paliativa temporária, restrinja o acesso à função
listen for saving export schedule() para minimizar o risco de exploração.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Forminator Forms