SureForms <= 2.5.2 - Contournement non authentifié de la validation du montant du paiement via 'form_id'

La vulnérabilité CVE-2026-4987 dans le plugin SureForms pour WordPress permet à des attaquants non authentifiés de contourner la validation du montant du paiement configuré dans les formulaires. Cela est dû au fait que la fonction createpaymentintent() effectue la validation du paiement uniquement sur la base d'un paramètre contrôlé par l'utilisateur. En définissant form_id sur 0, un attaquant peut créer des intentions de paiement ou d'abonnement sous-évaluées, ce qui pourrait entraîner des pertes financières pour les propriétaires de sites web utilisant SureForms pour recevoir des paiements. La gravité de cette vulnérabilité est de 7,5 sur l'échelle CVSS, ce qui indique un risque important. Toutes les versions jusqu'à et y compris la 2.5.2 sont concernées, ce qui rend cruciale la mise à jour vers la version 2.6.0 ou ultérieure pour atténuer ce risque.

1. Réservé2026-03-27
2. Publiée2026-03-28
3. Modifiée2026-04-08
4. EPSS mis à jour2026-04-04

La solution à cette vulnérabilité est de mettre à jour le plugin SureForms vers la version 2.6.0 ou ultérieure. Cette version inclut une correction qui valide correctement le montant du paiement, empêchant la manipulation par des attaquants. De plus, examinez vos configurations de formulaires pour vous assurer que les montants de paiement minimum et maximum sont correctement définis. Surveiller régulièrement les journaux du serveur à la recherche d'activités suspectes liées à la création d'intentions de paiement peut également aider à détecter et à prévenir les attaques potentielles. La mise en œuvre de mesures de sécurité supplémentaires, telles que l'authentification à deux facteurs pour les utilisateurs ayant accès à l'administration du plugin, peut renforcer davantage la protection du site web.

Installations actives

500KConnu

Note du plugin