CVE-2026-15288 in SureForms Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das WordPress-Plugin SureForms – Drag and Drop Form Builder für WordPress ist in allen Versionen bis einschließlich 2.2.1 anfällig für eine unsachgemäße Eingabevalidierung (Improper Input Validation). Dies liegt daran, dass das Plugin den Zahlungsbetrag direkt aus benutzerkontrollierten POST-Daten in den Funktionen 'create_payment_intent' und 'create_subscription_intent' akzeptiert, ohne ihn gegen den konfigurierten Preis des Formulars zu validieren. Dadurch ist es nicht authentifizierten Angreifern möglich, den Zahlungsbetrag beim Absenden eines Stripe-Zahlungsformulars auf einen beliebigen Wert zu ändern, was potenziell den Kauf von Produkten oder Dienstleistungen zu deutlich reduzierten Preisen ermöglicht.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.