Katalog CVE

CVE-2026-11880

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Wtyczka Fluent Forms dla WordPressa przed wersją 6.2.1 nie weryfikuje poprawnie własności przed przetworzeniem żądania anulowania subskrypcji, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami na anulowanie subskrypcji należących do innych użytkowników.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego anulowania subskrypcji innych użytkowników przez atakującego z niskimi uprawnieniami, co może prowadzić do przerwania usług, utraty przychodów i naruszenia zaufania klientów.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Fluent Forms do wersji 6.2.1 lub nowszej, która zawiera poprawkę usuwającą tę lukę.

Oryginalny opis (angielski, źródło NVD)

The Fluent Forms WordPress plugin before 6.2.1 does not properly verify ownership before processing a subscription cancellation request, allowing authenticated users with a low-privilege account to cancel subscriptions belonging to other users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS