CVE-2026-4281 in FormLift for Infusionsoft Web Forms Plugin
Zusammenfassung
von VulDB • 31.05.2026
Das WordPress-Plugin „FormLift for Infusionsoft Web Forms“ ist in allen Versionen bis einschließlich 7.5.21 anfällig für Missing Authorization (fehlende Autorisierung). Dies ist auf fehlende Berechtigungsprüfungen in den Methoden `connect()` und `listen_for_tokens()` der Klasse `FormLift_Infusionsoft_Manager` zurückzuführen, die beide an `plugins_loaded` gebunden sind und bei jedem Seitenaufruf ausgeführt werden. Die Funktion `connect()` generiert ein OAuth-Verbindungs-Passwort und gibt es im Location-Header der Weiterleitung weiter, ohne zu überprüfen, ob der anfragende Benutzer authentifiziert oder autorisiert ist. Die Funktion `listen_for_tokens()` validiert zwar das temporäre Passwort, führt jedoch vor dem Aufruf von `update_option()` zum Speichern von vom Angreifer kontrollierten OAuth-Tokens und der App-Domäne keine Benutzer-Authentifizierung durch. Dies ermöglicht es nicht authentifizierten Angreifern, die Infusionsoft-Verbindung der Website zu übernehmen, indem sie zunächst den OAuth-Flow auslösen, um das temporäre Passwort zu erhalten, und dieses dann verwenden, um beliebige OAuth-Tokens und die App-Domäne über `update_option()` festzulegen, wodurch die API-Kommunikation des Plugins effektiv auf einen vom Angreifer kontrollierten Server umgeleitet wird.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.