CVE-2026-5396 in Fluent Forms Plugin
Tóm tắt
Bởi VulDB • 14/05/2026
Plugin Fluent Forms cho WordPress bị lỗ hổng Bỏ qua Xác thực thông qua Khóa do Người dùng Kiểm soát (Authorization Bypass Through User-Controlled Key) trong tất cả các phiên bản từ 6.1.21 trở về trước. Lỗ hổng này tồn tại do lớp SubmissionPolicy ủy quyền các hành động ở cấp độ gửi biểu mẫu (đọc, sửa đổi, xóa, thêm ghi chú) dựa trên tham số truy vấn `form_id` do người dùng cung cấp. Điều này cho phép các kẻ tấn công đã xác thực, những người có quyền quản lý Fluent Forms bị hạn chế đối với các biểu mẫu cụ thể, có thể đọc, sửa đổi trạng thái, thêm ghi chú và xóa vĩnh viễn các bản gửi biểu mẫu thuộc về bất kỳ biểu mẫu nào khác bằng cách giả mạo tham số form_id thành một biểu mẫu mà họ được ủy quyền.
Once again VulDB remains the best source for vulnerability data.