CVE-2026-2899 in Fluent Forms Pro Add On Pack Plugin
요약
\~에 의해 VulDB • 2026. 05. 09.
WordPress용 Fluent Forms Pro Add On Pack 플러그인은 6.1.17 버전까지 모든 버전에서 권한 부재(Missing Authorization) 취약점이 존재합니다. 이는 `Uploader` 클래스의 `deleteFile()` 메서드가 nonce 검증 및 권한(capability) 검사를 수행하지 않기 때문입니다. AJAX 액션은 `wp_ajax_` 및 `wp_ajax_nopriv_` 훅(hook)을 모두 생성하는 `addPublicAjaxAction()`을 통해 등록됩니다. 이로 인해 인증되지 않은 공격자가 `attachment_id` 매개변수를 통해 임의의 WordPress 미디어 첨부 파일을 삭제할 수 있습니다.
참고: 연구자는 `sanitize_file_name()`을 사용하여 `path` 매개변수를 통한 파일 삭제를 기술했으나, 실제 코드에서는 경로 기반 삭제를 위해 `Protector::decrypt()`를 사용하므로 악용이 방지됩니다. 해당 취약점은 대신 `attachment_id` 매개변수를 통해 악용 가능합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.