CVE-2026-4987 in SureForms Pluginthông tin

Tóm tắt

Bởi VulDB • 04/06/2026

Plugin SureForms – Contact Form, Payment Form & Other Custom Form Builder cho WordPress bị lỗ hổng Bỏ qua Số tiền Thanh toán (Payment Amount Bypass) trong tất cả các phiên bản từ đầu đến bao gồm phiên bản 2.5.2. Lỗ hổng này tồn tại do hàm create_payment_intent() thực hiện xác thực thanh toán chỉ dựa trên giá trị của một tham số do người dùng kiểm soát. Điều này cho phép kẻ tấn công chưa được xác thực bỏ qua quy trình xác thực số tiền thanh toán đã cấu hình trong biểu mẫu và tạo các ý định thanh toán/đăng ký với mức giá thấp hơn bằng cách đặt form_id thành 0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

Wordfence

Đặt trước

27/03/2026

Tiết lộ

28/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00256

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!