CVE-2026-6222 in Forminator Forms Plugin
Zusammenfassung
von VulDB • 10.05.2026
Das WordPress-Plugin „Forminator Forms“ ist in den Versionen bis einschließlich 1.51.1 anfällig für Missing Authorization (fehlende Autorisierung). Dies liegt daran, dass die Methode `processRequest()` in `Forminator_Admin_Module_Edit_Page` (admin/abstracts/class-admin-module-edit-page.php) sensible Module-Verwaltungsaktionen – einschließlich Export, Löschen, Klonen, Löschen von Einträgen, Veröffentlichen/Entwurf und deren Massenversionen – nur nach einer Nonce-Prüfung ausführt, ohne jemals zu verifizieren, ob der aktuelle Benutzer über die Capability `manage_forminator_modules` verfügt. Der verwendete Nonce (`forminator_form_request`) wird bedingungslos in das globale JavaScript-Objekt `forminatorData` eingebettet und auf jeder Forminator-Admin-Seite lokalisiert, einschließlich der Vorlagen- und Berichtsseiten, die auch für Benutzer zugänglich sind, denen die Berechtigungen zur Modulverwaltung explizit verwehrt wurden. Da `processRequest()` während des `admin_menu`-Action-Hooks aufgerufen wird – der feuert, bevor WordPress Capability-Prüfungen auf Seitenebene durchsetzt –, kann ein Benutzer, dessen Forminator-Rolle auf Vorlagen oder Berichte beschränkt ist, eine gültige POST-Anfrage an ein beliebiges veröffentlichtes Modul senden und die anfälligen Aktionen erfolgreich auslösen. Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Level-Zugriff (oder jeder benutzerdefinierten Forminator-Rolle mit geringen Rechten), die vollständige interne Konfiguration beliebiger Formulare/Umfragen/Quizze (einschließlich Benachrichtigungs-Routing, Integrationsanmeldeinformationen und bedingter Logik) zu exportieren, Module zu löschen, alle Einreichungen/Abstimmungen zu löschen, Module zu klonen oder den Veröffentlichungsstatus (Veröffentlichen/Entwurf) massenhaft zu ändern.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.