Platform
wordpress
Component
sureforms
Opgelost in
2.5.4
CVE-2026-4987 is een kwetsbaarheid in de SureForms – Contact Form, Payment Form & Other Custom Form Builder WordPress plugin, waardoor een betalingsbypass mogelijk is. Door een validatieprobleem in de createpaymentintent() functie kunnen niet-geverifieerde aanvallers de ingestelde betalingsbedragen omzeilen en ondergewaardeerde betalingen creëren. De kwetsbaarheid treft versies tot en met 2.5.2. De kwetsbaarheid is verholpen in versie 2.6.0.
CVE-2026-4987 in de SureForms WordPress plugin stelt niet-geauthenticeerde aanvallers in staat om de geconfigureerde validatie van het betalingsbedrag in formulieren te omzeilen. Dit komt doordat de functie createpaymentintent() de betalingsvalidatie uitsluitend uitvoert op basis van een door de gebruiker gecontroleerde parameter. Door form_id op 0 te zetten, kan een aanvaller onderprijsde betalings- of abonnementsintenties creëren, wat kan leiden tot financiële verliezen voor website-eigenaren die SureForms gebruiken om betalingen te ontvangen. De CVSS-score voor deze kwetsbaarheid is 7,5, wat een aanzienlijk risico aangeeft. Alle versies tot en met 2.5.2 zijn getroffen, waardoor het cruciaal is om te updaten naar versie 2.6.0 of hoger om dit risico te beperken.
Een aanvaller kan deze kwetsbaarheid exploiteren door een kwaadaardig HTTP-verzoek naar een website te sturen die SureForms gebruikt. Dit verzoek zou de parameter form_id manipuleren om deze op 0 te zetten, waardoor de validatie van het betalingsbedrag wordt omzeild. De aanvaller kan dan een betalings- of abonnementsintentie creëren met een aanzienlijk lager bedrag dan verwacht, waardoor hij een financieel voordeel behaalt ten koste van de website-eigenaar. Het ontbreken van de vereiste authenticatie om deze kwetsbaarheid te exploiteren maakt deze bijzonder gevaarlijk, aangezien iedereen met internettoegang deze potentieel kan exploiteren. De exploitatie is relatief eenvoudig en vereist geen geavanceerde technische vaardigheden.
Exploit Status
EPSS
0.08% (25% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om de SureForms plugin te updaten naar versie 2.6.0 of hoger. Deze versie bevat een fix die het betalingsbedrag correct valideert, waardoor manipulatie door aanvallers wordt voorkomen. Controleer bovendien uw formulierconfiguraties om ervoor te zorgen dat de minimale en maximale betalingsbedragen correct zijn gedefinieerd. Regelmatig monitoren van serverlogs op verdachte activiteiten met betrekking tot het maken van betalingsintenties kan ook helpen om potentiële aanvallen te detecteren en te voorkomen. Het implementeren van extra beveiligingsmaatregelen, zoals tweefactorauthenticatie voor gebruikers met toegang tot de plugin-beheer, kan de bescherming van de website verder versterken.
Update naar versie 2.6.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Alle versies van SureForms tot en met 2.5.2 zijn kwetsbaar voor deze kwetsbaarheid.
U kunt SureForms updaten vanuit het WordPress-beheerpaneel, door naar Plugins > Updates te gaan.
Als u niet onmiddellijk kunt updaten, overweeg dan om betalingsformulieren tijdelijk uit te schakelen totdat u de plugin kunt updaten.
Ja, implementeer tweefactorauthenticatie voor gebruikers met toegang tot de plugin-beheer en monitor serverlogs op verdachte activiteiten.
U kunt meer informatie over deze kwetsbaarheid vinden in de CVE-database: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-4987
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.