CVE-2026-11578
NiskieCVSS 2.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Wtyczka Fluent Forms dla WordPressa przed wersją 6.2.5 nie ogranicza prawidłowo usuwania wpisów formularzy do tych, którymi zarządza ograniczony menedżer. Pozwala to menedżerowi z ograniczeniami do konkretnych formularzy na trwałe usuwanie wpisów należących do innych formularzy. Wymaga to niestandardowej konfiguracji, w której administrator utworzył co najmniej jednego menedżera z ograniczeniami do określonych formularzy.
Ocena ryzyka
Ryzyko polega na możliwości utraty danych z formularzy, do których menedżer nie powinien mieć dostępu, co może naruszyć integralność danych i poufność informacji w organizacji.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Fluent Forms do wersji 6.2.5 lub nowszej, która usuwa tę podatność. Należy również przejrzeć konfigurację uprawnień menedżerów, aby upewnić się, że są one odpowiednio ograniczone.
Oryginalny opis (angielski, źródło NVD)
The Fluent Forms WordPress plugin before 6.2.5 does not properly restrict the deletion of form submission entries to the forms a restricted Manager is authorized to manage, allowing a Manager limited to specific forms to permanently delete submission entries belonging to other forms. This requires a non-default configuration in which an administrator has created at least one Manager restricted to specific forms.

