CVE-2026-2899 in Fluent Forms Pro Add On Pack Plugininformación

Resumen

por VulDB • 2026-06-02

El plugin Fluent Forms Pro Add On Pack para WordPress presenta una vulnerabilidad de Autorización faltante (Missing Authorization) en todas las versiones hasta la 6.1.17, incluida. Esto se debe a que el método `deleteFile()` en la clase `Uploader` carece de verificación de nonce y de comprobaciones de capacidades. La acción AJAX se registra mediante `addPublicAjaxAction()`, lo que crea tanto los ganchos `wp_ajax_` como `wp_ajax_nopriv_`. Esto permite a atacantes no autenticados eliminar archivos adjuntos de medios de WordPress arbitrarios a través del parámetro `attachment_id`.

Nota: El investigador describió la eliminación de archivos mediante el parámetro `path` usando `sanitize_file_name()`, pero el código real utiliza `Protector::decrypt()` para la eliminación basada en la ruta, lo que impide la explotación. La vulnerabilidad es explotable a través del parámetro `attachment_id` en su lugar.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgación

2026-03-05

Moderación

aceptado

Artículo

VDB-348735

CPE

listo

EPSS

0.00163

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2899
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2899
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2899/

AnteriorVisión De ConjuntoPróximo

Do you need the next level of professionalism?

Upgrade your account now!