CVE-2026-2890 in Formidable Forms Plugininformación

Resumen

por MITRE • 2026-03-13

El plugin Formidable Forms para WordPress es vulnerable a una elusión de la integridad de pago en todas las versiones hasta la 6.28, inclusive. Esto se debe a que el gestor de retorno de Stripe Link ('handle_one_time_stripe_link_return_url') marca los registros de pago como completados basándose únicamente en el estado del PaymentIntent de Stripe sin comparar el importe cobrado del intent con el importe de pago esperado, y a que la función 'verify_intent()' valida solo la propiedad del secreto del cliente sin vincular los intents a formularios o acciones específicos. Esto hace posible que atacantes no autenticados reutilicen un PaymentIntent de un pago de bajo valor completado para marcar un pago de alto valor como completado, eludiendo eficazmente el pago de bienes o servicios.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-02-20

Divulgación

2026-03-13

Moderación

aceptado

Artículo

VDB-350821

CPE

listo

EPSS

0.00092

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2890
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2890
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2890/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!