CVE-2026-2888 in Formidable Forms Plugininformación

Resumen

por MITRE • 2026-03-13

El plugin Formidable Forms para WordPress es vulnerable a un bypass de autorización a través de una clave controlada por el usuario en todas las versiones hasta la 6.28, inclusive. Esto se debe a que el gestor AJAX `frm_strp_amount` (`update_intent_ajax`) sobrescribe los datos globales `$_POST` con entrada JSON controlada por el atacante y luego utiliza esos valores para recalcular los importes de pago a través de la resolución de shortcode de campo en `generate_false_entry()`. El gestor se basa en un nonce que está expuesto públicamente en el JavaScript de la página (`frm_stripe_vars.nonce`), lo que proporciona protección CSRF pero no autorización. Esto hace posible que atacantes no autenticados manipulen los importes de PaymentIntent antes de la finalización del pago en formularios que utilizan precios dinámicos con shortcodes de campo, pagando efectivamente una cantidad reducida por bienes o servicios.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-02-20

Divulgación

2026-03-13

Moderación

aceptado

Artículo

VDB-350833

CPE

listo

EPSS

0.00026

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2888
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2888
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2888/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!