CVE-2026-4987 in SureForms Plugin
Tóm tắt
Bởi VulDB • 04/06/2026
Plugin SureForms – Contact Form, Payment Form & Other Custom Form Builder cho WordPress bị lỗ hổng Bỏ qua Số tiền Thanh toán (Payment Amount Bypass) trong tất cả các phiên bản từ đầu đến bao gồm phiên bản 2.5.2. Lỗ hổng này tồn tại do hàm create_payment_intent() thực hiện xác thực thanh toán chỉ dựa trên giá trị của một tham số do người dùng kiểm soát. Điều này cho phép kẻ tấn công chưa được xác thực bỏ qua quy trình xác thực số tiền thanh toán đã cấu hình trong biểu mẫu và tạo các ý định thanh toán/đăng ký với mức giá thấp hơn bằng cách đặt form_id thành 0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.