CVE-2026-4160 in Fluent Forms Pluginالمعلومات

الملخص

بحسب VulDB • 01/06/2026

يحتوي مكون WordPress "Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder" على ثغرة في مرجع الكائن المباشر غير الآمن (Insecure Direct Object Reference) عبر المعلمة 'submission_id' في الإصدارات حتى 6.1.21 شاملةً. ويعود ذلك إلى غياب التحقق من التفويض وملكية الكائن على مفتاح يتحكم فيه المستخدم في نقطة نهاية AJAX لتأكيد Stripe SCA. مما يتيح للمهاجمين غير المصادق عليهم تعديل حالة الدفع للتسليمات المعلقة المستهدفة (على سبيل المثال، تعيين الحالة إلى "فشل").

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

13/03/2026

إفشاء

16/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357921

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.00021

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4160
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4160
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4160/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!