SureForms <= 2.5.2 - 未经验证的支付金额验证绕过，通过 'form_id'

WordPress 的 SureForms – Contact Form, Payment Form & Other Custom Form Builder 插件存在支付金额绕过漏洞，影响所有 2.5.2 及以下版本。这是由于 create_payment_intent() 函数仅基于用户可控参数的值执行支付验证。这使得未经身份验证的攻击者可以通过将 form_id 设置为 0 来绕过配置的表单支付金额验证，并创建低价的支付/订阅意图。