CVE-2026-2729 in Forminator Forms Plugin
要約
〜によって VulDB • 2026年05月27日
WordPress用プラグイン「Forminator」の1.52.0以前の全バージョンにおいて、認可回避の脆弱性が存在します。これは、パブリックな支払いフローにおいて攻撃者が提供したStripe PaymentIntent識別子を処理する際、プラグインがユーザーがアクションを実行する権限を持っているかどうかを適切に検証しないことに起因します。これにより、認証されていない攻撃者は、以前に成功した低額のStripe PaymentIntentを再利用して高額の支払いフォームを完了済みとして送信することが可能となり、過少支払いや支払い回避の状態を招きます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.