CVE-2026-2899 in Fluent Forms Pro Add On Pack PluginИнформация

Сводка

по VulDB • 02.06.2026

Плагин Fluent Forms Pro Add On Pack для WordPress уязвим к отсутствию авторизации (Missing Authorization) во всех версиях вплоть до 6.1.17 включительно. Это связано с тем, что метод `deleteFile()` в классе `Uploader` не содержит проверки nonce и проверок прав доступа (capability checks). Действие AJAX регистрируется через `addPublicAjaxAction()`, что создает как хуки `wp_ajax_`, так и `wp_ajax_nopriv_`. Это позволяет неаутентифицированным злоумышленникам удалять произвольные медиа-вложения WordPress через параметр `attachment_id`.

Примечание: Исследователь описал удаление файлов через параметр `path` с использованием `sanitize_file_name()`, однако фактический код использует `Protector::decrypt()` для удаления на основе пути, что предотвращает эксплуатацию. Уязвимость может быть эксплуатирована через параметр `attachment_id`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Раскрытие

05.03.2026

Модерация

принято

Вход

VDB-348735

CPE

готов

CWE

CWE-862 (Подтверждённый)

CVSS

6.5 (CNA)

EPSS

0.00163

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-2899
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-2899
CVE Details	https://www.cvedetails.com/cve/CVE-2026-2899/

◂ Предыдущий Обзор Далее ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!