CVE-2026-12400 in FlowForms Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin per WordPress FlowForms – Conversational Form Builder è vulnerabile a Insecure Direct Object Reference (IDOR) in tutte le versioni fino alla 1.1.1, incluse, tramite l'endpoint update_form a causa della mancanza di validazione su una chiave controllata dall'utente. Ciò consente agli attaccanti autenticati con accesso a livello di collaboratore o superiore di modificare contenuto, design e impostazioni, nonché pubblicare o annullare la pubblicazione di qualsiasi modulo sul sito — inclusi quelli di proprietà degli amministratori — fornendo un ID del modulo arbitrario nell'URL REST.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.