SureForms <= 2.5.2 - 'form_id' के माध्यम से अप्रमाणित भुगतान राशि सत्यापन बाईपास

CVE-2026-4987 SureForms WordPress प्लगइन में एक भेद्यता है जो अनधिकृत हमलावरों को फॉर्म में कॉन्फ़िगर किए गए भुगतान राशि सत्यापन को बायपास करने की अनुमति देती है। ऐसा इसलिए है क्योंकि createpaymentintent() फ़ंक्शन केवल उपयोगकर्ता-नियंत्रित पैरामीटर के आधार पर भुगतान सत्यापन करता है। form_id को 0 पर सेट करके, एक हमलावर कम मूल्यांकित भुगतान या सदस्यता इरादे बना सकता है, जिससे SureForms का उपयोग करके भुगतान प्राप्त करने वाले वेबसाइट मालिकों को वित्तीय नुकसान हो सकता है। इस भेद्यता के लिए CVSS स्कोर 7.5 है, जो एक महत्वपूर्ण जोखिम दर्शाता है। 2.5.2 तक के सभी संस्करण प्रभावित हैं, इसलिए इस जोखिम को कम करने के लिए संस्करण 2.6.0 या बाद में अपडेट करना महत्वपूर्ण है।

1. आरक्षित2026-03-27
2. प्रकाशित2026-03-28
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-04

इस भेद्यता का समाधान SureForms प्लगइन को संस्करण 2.6.0 या बाद में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो हमलावरों द्वारा हेरफेर को रोकते हुए भुगतान राशि को ठीक से मान्य करता है। इसके अतिरिक्त, न्यूनतम और अधिकतम भुगतान राशि सही ढंग से परिभाषित हैं यह सुनिश्चित करने के लिए अपने फॉर्म कॉन्फ़िगरेशन की समीक्षा करें। भुगतान इरादे बनाने से संबंधित सर्वर लॉग की नियमित रूप से निगरानी करने से संभावित हमलों का पता लगाने और रोकने में भी मदद मिल सकती है। प्लगइन प्रशासन तक पहुंच वाले उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण जैसे अतिरिक्त सुरक्षा उपायों को लागू करने से वेबसाइट की सुरक्षा को और मजबूत किया जा सकता है।

सक्रिय इंस्टॉलेशन

500Kज्ञात

प्लगइन रेटिंग