CVE-2026-5229 in Receive Notifications After Form Submitting Plugininformation

Résumé

par VulDB • 15/05/2026

Le plugin Form Notify pour WordPress présente une vulnérabilité de contournement d'authentification dans les versions 1.1.10 et antérieures. Cette faille est due au fait que le plugin fait confiance aux données de cookie contrôlées par l'utilisateur pour déterminer le compte WordPress à authentifier après une connexion via LINE OAuth. Lorsque LINE ne fournit pas d'adresse e-mail (ce qui est courant), le plugin effectue un retour à la lecture de la valeur du cookie 'form_notify_line_email' sans vérifier que le compte LINE est associé à cette adresse e-mail. Cela permet aux attaquants non authentifiés d'accéder à n'importe quel compte utilisateur du site, y compris aux comptes administrateur, en complétant un flux LINE OAuth avec leur propre compte LINE tout en injectant un cookie malveillant contenant l'adresse e-mail de la victime cible.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

31/03/2026

Divulgation

15/05/2026

Modérer

accepté

Entrée

VDB-364154

CPE

prêt

EPSS

0.00140

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5229
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5229
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5229/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!