الثغرات ›

CVE-2026-2729

متوسط

CWE-639 — نوع الضعف

                    نُشر: May 5, 2026                      ·  آخر تحديث: May 8, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Forminator plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 1.52.0. This is due to the plugin not properly verifying that a user is authorized to perform an action when processing attacker-supplied Stripe PaymentIntent identifiers in the public payment flow. This makes it possible for unauthenticated attackers to submit high-value paid forms as completed by reusing a previously succeeded low-value Stripe PaymentIntent, resulting in underpayment/payment bypass conditions.

🤖 ملخص AI

The Forminator WordPress plugin versions up to 1.52.0 contain an authorization bypass vulnerability allowing unauthenticated attackers to manipulate Stripe PaymentIntent identifiers. Attackers can reuse low-value payment intents to bypass payment requirements on high-value forms, causing financial loss through underpayment.

📄 الوصف (العربية)

تسمح هذه الثغرة للمهاجمين غير المصرحين بتجاوز آليات التفويض في مكون Forminator عند معالجة معرفات Stripe PaymentIntent. يمكن للمهاجمين إعادة استخدام معرفات دفع منخفضة القيمة سابقة لإكمال نماذج مدفوعة عالية القيمة دون دفع المبلغ الكامل.

🤖 ملخص تنفيذي (AI)

يحتوي مكون Forminator لـ WordPress حتى الإصدار 1.52.0 على ثغرة تجاوز التفويض تسمح للمهاجمين غير المصرحين بمعالجة معرفات Stripe PaymentIntent. يمكن للمهاجمين إعادة استخدام نوايا الدفع منخفضة القيمة لتجاوز متطلبات الدفع على النماذج عالية القيمة.

🤖 التحليل الذكي آخر تحليل: May 30, 2026 03:50

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1566 T1199

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the Forminator plugin to version 1.52.1 or later immediately. Implement server-side validation to verify PaymentIntent amounts match form requirements. Enable Stripe webhook signature verification and implement proper user authorization checks before processing payments. Monitor payment transactions for anomalies.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون Forminator إلى الإصدار 1.52.1 أو أحدث فوراً. قم بتطبيق التحقق من صحة الخادم للتأكد من أن مبالغ PaymentIntent تطابق متطلبات النموذج. فعّل التحقق من توقيع webhook في Stripe وطبّق فحوصات التفويض المناسبة قبل معالجة الدفعات. راقب معاملات الدفع للكشف عن الحالات الشاذة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 SI-7

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.14.2.1

🔗 المراجع والمصادر 2

🔗

https://plugins.trac.wordpress.org/changeset/3500669/forminator

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/1afb94ab-b3ba-4598-8ff4-f9ffc...

security@wordfence.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-639

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-05

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-639

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-2729

عرّفنا بنفسك

تسجيل الدخول مطلوب