CVE-2026-2899 in Fluent Forms Pro Add On Pack Plugininfo

Zusammenfassung

von VulDB • 02.06.2026

Das Plugin „Fluent Forms Pro Add On Pack“ für WordPress ist in allen Versionen bis einschließlich 6.1.17 anfällig für Missing Authorization. Dies ist darauf zurückzuführen, dass die Methode `deleteFile()` in der Klasse `Uploader` weder eine Nonce-Überprüfung noch Capability-Prüfungen durchführt. Die AJAX-Aktion wird über `addPublicAjaxAction()` registriert, wodurch sowohl `wp_ajax_`- als auch `wp_ajax_nopriv_`-Hooks erstellt werden. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige WordPress-Medienanhänge über den Parameter `attachment_id` zu löschen.

Hinweis: Der Forscher beschrieb das Löschen von Dateien über den Parameter `path` unter Verwendung von `sanitize_file_name()`, doch der tatsächliche Code verwendet für pfadbasierte Löschvorgänge `Protector::decrypt()`, was die Ausnutzung verhindert. Die Schwachstelle ist stattdessen über den Parameter `attachment_id` ausnutzbar.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

05.03.2026

Moderieren

akzeptiert

Eintrag

VDB-348735

CPE

bereit

CWE

CWE-862 (bestätigt)

CVSS

6.5 (CNA)

EPSS

0.00163

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-2899
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-2899
CVE Details	https://www.cvedetails.com/cve/CVE-2026-2899/

◂ Zurück Übersicht Weiter ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!