Vulnerabilidad en plugin Fluent Forms Pro Add On Pack para WordPress (CVE-2026-2899)

El plugin Fluent Forms Pro Add On Pack para WordPress es vulnerable a Autorización Faltante en todas las versiones hasta la 6.1.17, inclusive. Esto se debe a que el método &amp;#39;deleteFile()&amp;#39; en la clase &amp;#39;Uploader&amp;#39; carece de verificación de nonce y comprobaciones de capacidad. La acción AJAX se registra a través de &amp;#39;addPublicAjaxAction()&amp;#39;, lo que crea los hooks &amp;#39;wp_ajax_&amp;#39; y &amp;#39;wp_ajax_nopriv_&amp;#39;. Esto hace posible que atacantes no autenticados eliminen archivos adjuntos de medios de WordPress arbitrarios a través del parámetro &amp;#39;attachment_id&amp;#39;.<br /> <br /> Nota: El investigador describió la eliminación de archivos a través del parámetro &amp;#39;path&amp;#39; usando &amp;#39;sanitize_file_name()&amp;#39;, pero el código real usa &amp;#39;Protector::decrypt()&amp;#39; para la eliminación basada en la ruta, lo que evita la explotación. La vulnerabilidad es explotable a través del parámetro &amp;#39;attachment_id&amp;#39; en su lugar.