無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-5396CVSS 8.2

CVE-2026-5396: Authorization Bypass in Fluent Forms

プラットフォーム

wordpress

コンポーネント

fluentform

修正版

6.2.0

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2026-5396 is an authorization bypass vulnerability affecting the Fluent Forms WordPress plugin. This flaw allows authenticated attackers with limited form manager access to manipulate submissions from any form within the system by exploiting a flaw in how form IDs are handled. The vulnerability impacts versions 0.0.0 through 6.1.21, and a fix is available in version 6.2.0.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

An attacker exploiting this vulnerability could gain unauthorized access to sensitive form submission data, including personally identifiable information (PII) collected through forms. They could read, modify, or even permanently delete submissions, potentially disrupting business processes or causing data loss. The impact is particularly severe for organizations relying on Fluent Forms to collect critical data, as an attacker could tamper with submissions to manipulate results, gain unauthorized access to user data, or even cause denial of service by deleting submissions. This vulnerability highlights the importance of robust authorization controls, even for users with seemingly limited privileges.

悪用の状況翻訳中…

This vulnerability was published on 2026-05-14. Currently, there is no public proof-of-concept (POC) code available. The EPSS score is pending evaluation. While no active campaigns have been reported, the ease of exploitation and potential impact suggest a medium probability of exploitation if the vulnerability is discovered by malicious actors. Monitor WordPress security forums and vulnerability databases for updates.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CISA SSVC

悪用状況none
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N8.2HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントfluentform
ベンダーwordfence
最小バージョン0.0.0
最大バージョン6.1.21
修正版6.2.0

弱点分類 (CWE)

CWE-639

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策翻訳中…

The primary mitigation is to upgrade Fluent Forms to version 6.2.0 or later, which addresses the authorization bypass. If immediate upgrading is not possible, consider restricting access to the Fluent Forms manager role to only essential users. Implement a Web Application Firewall (WAF) rule to block requests containing suspicious formid parameters, particularly those that are excessively long or contain unexpected characters. Regularly review Fluent Forms configurations and user permissions to ensure they adhere to the principle of least privilege. After upgrading, verify the fix by attempting to access a form submission with a spoofed formid parameter; access should be denied.

修正方法

バージョン 6.2.0、またはそれ以降の修正バージョンにアップデートしてください

よくある質問翻訳中…

What is CVE-2026-5396 — Authorization Bypass in Fluent Forms?

CVE-2026-5396 is a HIGH severity vulnerability in the Fluent Forms WordPress plugin allowing authenticated attackers to manipulate form submissions by spoofing the form_id parameter.

Am I affected by CVE-2026-5396 in Fluent Forms?

You are affected if you are using Fluent Forms versions 0.0.0 through 6.1.21. Upgrade to version 6.2.0 to resolve the issue.

How do I fix CVE-2026-5396 in Fluent Forms?

Upgrade Fluent Forms to version 6.2.0 or later. As a temporary workaround, restrict access to the Fluent Forms manager role and implement WAF rules to block suspicious requests.

Is CVE-2026-5396 being actively exploited?

No active campaigns have been reported, but the vulnerability's ease of exploitation warrants caution. Monitor security advisories for updates.

Where can I find the official Fluent Forms advisory for CVE-2026-5396?

Refer to the official Fluent Forms website and WordPress security announcements for the latest information and advisory regarding CVE-2026-5396.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...