無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-5395CVSS 8.2

CVE-2026-5395: IDOR in Fluent Forms Contact Forms

プラットフォーム

wordpress

コンポーネント

fluentform

修正版

6.2.1

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2026-5395 describes an Insecure Direct Object Reference (IDOR) vulnerability discovered in the Fluent Forms WordPress plugin. This flaw allows authenticated attackers with manager-level access or higher to bypass form-level access restrictions, potentially exposing sensitive data. The vulnerability impacts versions 0.0.0 through 6.2.0, and a patch is available in version 6.2.1.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

An attacker exploiting this IDOR vulnerability can gain unauthorized access to form submissions they are not authorized to view. This could involve extracting Personally Identifiable Information (PII) collected through forms, such as names, email addresses, and other sensitive data. Furthermore, the vulnerability allows attackers to export data from arbitrary database tables and even enumerate database table names by observing error messages. The blast radius extends to any WordPress site utilizing the vulnerable Fluent Forms plugin, particularly those handling sensitive user data.

悪用の状況翻訳中…

The vulnerability was published on 2026-05-14. Currently, there are no reports of active exploitation campaigns targeting CVE-2026-5395. The vulnerability is not listed on KEV or EPSS, suggesting a low to medium probability of exploitation. Public Proof-of-Concept (POC) code may emerge, increasing the risk.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート3 件の脅威レポート

CISA SSVC

悪用状況none
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N8.2HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントfluentform
ベンダーwordfence
最小バージョン0.0.0
最大バージョン6.2.0
修正版6.2.1

弱点分類 (CWE)

CWE-639

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策翻訳中…

The primary mitigation for CVE-2026-5395 is to immediately upgrade the Fluent Forms plugin to version 6.2.1 or later. If upgrading is not feasible due to compatibility issues or breaking changes, consider temporarily restricting access to the exportEntries function through WordPress's built-in access control mechanisms. While not a complete fix, this can limit the potential impact. Monitor WordPress logs for suspicious activity related to database access or form exports. After upgrading, confirm the fix by attempting to access form submissions from a user account without the necessary permissions; access should be denied.

修正方法

バージョン 6.2.1、またはそれ以降の修正バージョンにアップデートしてください

よくある質問翻訳中…

What is CVE-2026-5395 — IDOR in Fluent Forms Contact Forms?

CVE-2026-5395 is an Insecure Direct Object Reference (IDOR) vulnerability in the Fluent Forms WordPress plugin, allowing authenticated attackers to access unauthorized form submissions and database data.

Am I affected by CVE-2026-5395 in Fluent Forms Contact Forms?

If you are using Fluent Forms version 0.0.0 through 6.2.0 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.

How do I fix CVE-2026-5395 in Fluent Forms Contact Forms?

Upgrade the Fluent Forms plugin to version 6.2.1 or later to resolve the vulnerability. If upgrading is not immediately possible, restrict access to the exportEntries function.

Is CVE-2026-5395 being actively exploited?

As of now, there are no confirmed reports of active exploitation campaigns targeting CVE-2026-5395, but the risk remains until patched.

Where can I find the official Fluent Forms advisory for CVE-2026-5395?

Refer to the official Fluent Forms website and WordPress plugin repository for the latest advisory and update information regarding CVE-2026-5395.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...