SureForms <= 2.5.2 - Contournement non authentifié de la validation du montant du paiement via 'form_id'

Le plugin SureForms – Contact Form, Payment Form & Other Custom Form Builder pour WordPress est vulnérable au contournement du montant du paiement dans toutes les versions jusqu'à la version 2.5.2 incluse. Ceci est dû au fait que la fonction create_payment_intent() effectue une validation du paiement uniquement basée sur la valeur d'un paramètre contrôlé par l'utilisateur. Cela permet à des attaquants non authentifiés de contourner la validation du montant du paiement configuré du formulaire et de créer des intentions de paiement/abonnement sous-évaluées en définissant form_id sur 0.