CVE-2026-5396

Nome do Software Vulnerável e Versões Afetadas Fluent Forms versões anteriores a 6.1.22

Descrição Existe uma falha de bypass de autorização na classe SubmissionPolicy, que autoriza ações de nível de submissão, como leitura, modificação, exclusão e adição de notas, com base em um parâmetro de consulta form id fornecido pelo usuário. Atacantes autenticados com acesso de Gerente do Fluent Forms restrito a formulários específicos podem falsificar o parâmetro form id para acessar, modificar o status, adicionar notas ou excluir permanentemente submissões de formulários pertencentes a qualquer outro formulário.

Recomendações Atualize para a versão 6.1.22 ou posterior.