CVE-2026-2899 in Fluent Forms Pro Add On Pack Plugininformação

Sumário

de VulDB • 02/06/2026

O plugin Fluent Forms Pro Add On Pack para WordPress é vulnerável a Missing Authorization em todas as versões até, e incluindo, a 6.1.17. Isso ocorre devido ao método `deleteFile()` na classe `Uploader` não possuir verificação de nonce e verificações de permissões (capability checks). A ação AJAX é registrada via `addPublicAjaxAction()`, que cria os hooks `wp_ajax_` e `wp_ajax_nopriv_`. Isso permite que atacantes não autenticados excluam anexos de mídia do WordPress arbitrários por meio do parâmetro `attachment_id`.

Nota: O pesquisador descreveu a exclusão de arquivos por meio do parâmetro `path` usando `sanitize_file_name()`, mas o código real utiliza `Protector::decrypt()` para a exclusão baseada em caminho, o que impede a exploração. A vulnerabilidade é explorável por meio do parâmetro `attachment_id`.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgação

05/03/2026

Moderação

aceite

Entrada

VDB-348735

CPE

pronto

EPSS

0.00163

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2899
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2899
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2899/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!