CVE-2026-2899 in Fluent Forms Pro Add On Pack Plugininformation

Résumé

par VulDB • 09/05/2026

Le plugin Fluent Forms Pro Add On Pack pour WordPress présente une vulnérabilité de type Missing Authorization (défaut d'autorisation) dans toutes les versions jusqu'à la 6.1.17 incluse. Cela est dû au fait que la méthode `deleteFile()` de la classe `Uploader` ne vérifie pas le nonce ni ne contrôle les capacités utilisateur. L'action AJAX est enregistrée via `addPublicAjaxAction()`, ce qui crée à la fois les hooks `wp_ajax_` et `wp_ajax_nopriv_`. Cela permet aux attaquants non authentifiés de supprimer des pièces jointes multimédias WordPress arbitraires via le paramètre `attachment_id`.

Note : Le chercheur a décrit la suppression de fichiers via le paramètre `path` en utilisant `sanitize_file_name()`, mais le code réel utilise `Protector::decrypt()` pour la suppression basée sur le chemin, ce qui empêche l'exploitation. La vulnérabilité est exploitable via le paramètre `attachment_id` à la place.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgation

05/03/2026

Modérer

accepté

Entrée

VDB-348735

CPE

prêt

EPSS

0.00163

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2899
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2899
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2899/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!