CVE-2026-2888

El plugin Formidable Forms para WordPress es vulnerable a un bypass de autorización a través de una clave controlada por el usuario en todas las versiones hasta la 6.28, inclusive. Esto se debe a que el gestor AJAX `frm_strp_amount` (`update_intent_ajax`) sobrescribe los datos globales `$_POST` con entrada JSON controlada por el atacante y luego utiliza esos valores para recalcular los importes de pago a través de la resolución de shortcode de campo en `generate_false_entry()`. El gestor se basa en un nonce que está expuesto públicamente en el JavaScript de la página (`frm_stripe_vars.nonce`), lo que proporciona protección CSRF pero no autorización. Esto hace posible que atacantes no autenticados manipulen los importes de PaymentIntent antes de la finalización del pago en formularios que utilizan precios dinámicos con shortcodes de campo, pagando efectivamente una cantidad reducida por bienes o servicios.