The Forminator plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 1.52.0. This is due to the plugin not properly verifying that a user is authorized to perform an action when processing attacker-supplied Stripe PaymentIntent identifiers in the public payment flow. This makes it possible for unauthenticated attackers to submit high-value paid forms as completed by reusing a previously succeeded low-value Stripe PaymentIntent, resulting in underpayment/payment bypass conditions.
The Forminator WordPress plugin versions up to 1.52.0 contain an authorization bypass vulnerability allowing unauthenticated attackers to manipulate Stripe PaymentIntent identifiers. Attackers can reuse low-value payment intents to bypass payment requirements on high-value forms, causing financial loss through underpayment.
تسمح هذه الثغرة للمهاجمين غير المصرحين بتجاوز آليات التفويض في مكون Forminator عند معالجة معرفات Stripe PaymentIntent. يمكن للمهاجمين إعادة استخدام معرفات دفع منخفضة القيمة سابقة لإكمال نماذج مدفوعة عالية القيمة دون دفع المبلغ الكامل.
يحتوي مكون Forminator لـ WordPress حتى الإصدار 1.52.0 على ثغرة تجاوز التفويض تسمح للمهاجمين غير المصرحين بمعالجة معرفات Stripe PaymentIntent. يمكن للمهاجمين إعادة استخدام نوايا الدفع منخفضة القيمة لتجاوز متطلبات الدفع على النماذج عالية القيمة.
Update the Forminator plugin to version 1.52.1 or later immediately. Implement server-side validation to verify PaymentIntent amounts match form requirements. Enable Stripe webhook signature verification and implement proper user authorization checks before processing payments. Monitor payment transactions for anomalies.
قم بتحديث مكون Forminator إلى الإصدار 1.52.1 أو أحدث فوراً. قم بتطبيق التحقق من صحة الخادم للتأكد من أن مبالغ PaymentIntent تطابق متطلبات النموذج. فعّل التحقق من توقيع webhook في Stripe وطبّق فحوصات التفويض المناسبة قبل معالجة الدفعات. راقب معاملات الدفع للكشف عن الحالات الشاذة.