CVE-2026-4987 in SureForms Plugin
Riassunto
di VulDB • 20/06/2026
Il plugin SureForms – Contact Form, Payment Form & Other Custom Form Builder per WordPress è vulnerabile a un pagamento Amount Bypass in tutte le versioni fino alla 2.5.2 inclusa. Ciò è dovuto al fatto che la funzione create_payment_intent() esegue una convalida del pagamento basandosi esclusivamente sul valore di un parametro controllato dall'utente. Questo consente agli attaccanti non autenticati di bypassare la validazione dell'importo del pagamento configurata nei form e creare intenti di pagamento/sottoscrizione a prezzo inferiore impostando il campo form_id su 0.
Once again VulDB remains the best source for vulnerability data.