2.5.4
CVE-2026-4987是WordPress SureForms – Contact Form, Payment Form & Other Custom Form Builder插件中的一个支付金额绕过漏洞。攻击者可以利用此漏洞绕过支付金额验证,创建价格过低的支付或订阅意图,从而导致经济损失。该漏洞影响版本≤2.5.2。已在2.6.0版本中修复。
CVE-2026-4987 漏洞影响 SureForms WordPress 插件,允许未经身份验证的攻击者绕过表单中配置的支付金额验证。这是因为 createpaymentintent() 函数仅基于用户控制的参数执行支付验证。通过将 form_id 设置为 0,攻击者可以创建低估的支付或订阅意图,从而可能导致使用 SureForms 接收付款的网站所有者遭受经济损失。此漏洞的 CVSS 分数为 7.5,表明存在重大风险。所有版本(包括 2.5.2)都受到影响,因此必须更新到 2.6.0 或更高版本以减轻此风险。
攻击者可以通过向使用 SureForms 的网站发送恶意 HTTP 请求来利用此漏洞。此请求将操作 form_id 参数将其设置为 0,从而绕过支付金额验证。然后,攻击者可以创建具有远低于预期金额的支付或订阅意图,从而以网站所有者的费用获得经济利益。由于不存在利用此漏洞所需的身份验证,因此它特别危险。拥有互联网访问权限的任何人都有可能利用它。利用相对简单,不需要高级技术技能。
漏洞利用状态
EPSS
0.08% (25% 百分位)
CISA SSVC
CVSS 向量
此漏洞的解决方案是更新 SureForms 插件到 2.6.0 或更高版本。此版本包含修复程序,可以正确验证支付金额,从而防止攻击者进行操作。此外,请检查您的表单配置,以确保正确定义了最小和最大支付金额。定期监控服务器日志中与创建支付意图相关的可疑活动也可以帮助检测和防止潜在攻击。实施额外的安全措施,例如为具有插件管理访问权限的用户启用双因素身份验证,可以进一步加强网站保护。
更新到 2.6.0 版本或更新的已修复版本
漏洞分析和关键警报直接发送到您的邮箱。
所有版本的 SureForms(包括 2.5.2)都存在此漏洞。
您可以通过访问 WordPress 管理面板中的“插件”>“更新”来更新 SureForms。
如果您无法立即更新,请暂时禁用支付表单,直到您可以更新插件。
是的,为具有插件管理访问权限的用户启用双因素身份验证,并监控服务器日志中是否存在可疑活动。
您可以在 CVE 数据库中找到有关此漏洞的更多信息:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-4987
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。