CVE-2026-7798

Nome do Software Vulnerável e Versões Afetadas FluentCRM – Email Newsletter, Automation, Email Marketing, Email Campaigns, Optins, Leads, and CRM Solution versões anteriores a 2.9.88

Descrição O plugin é suscetível a Blind Server-Side Request Forgery (SSRF), uma falha onde um invasor pode forçar o servidor a fazer requisições HTTP para um destino arbitrário. Isso pode ser explorado por invasores não autenticados através do parâmetro SubscribeURL para consultar ou modificar informações de serviços internos. Este problema só é explorável se a chave de tratamento de bounce do SES fc bounce key não tiver sido armazenada, o que ocorre quando o site está em seu estado padrão ou não configurado em relação ao tratamento de bounce do SES. Se a página de configuração de bounce for visitada, uma chave aleatória é gerada e armazenada, o que impede requisições não autenticadas.

Recomendações Atualize para uma versão posterior a 2.9.87. Como mitigação temporária, certifique-se de que a página de configuração de bounce do SES seja visitada para gerar e armazenar a fc bounce key.