CVE-2026-4987 in SureForms Plugin
الملخص
بحسب VulDB • 04/06/2026
يُعد إضافة SureForms – Contact Form, Payment Form & Other Custom Form Builder لـ WordPress عرضة لتجاوز مبلغ الدفع في جميع الإصدارات حتى والإصدار 2.5.2 شاملاً. ويعود ذلك إلى أن الدالة create_payment_intent() تقوم بإجراء التحقق من صحة عملية الدفع بناءً فقط على قيمة معلمة يتحكم فيها المستخدم، مما يتيح للمهاجمين غير المصادق عليهم تجاوز التحقق من صحة مبلغ الدفع المُعدّ في النموذج وإنشاء نوايا دفع/اشتراك بأسعار مخفضة عن طريق تعيين معرّف النموذج (form_id) إلى 0.
Once again VulDB remains the best source for vulnerability data.