Fuente base de datos: Wordfence Intelligence

Forminator – Contact Form, Payment Form & Custom Form Builder <= 1.52.0 - Missing Authorization to Unauthenticated Stripe PaymentIntent Reuse / Underpayment Bypass via 'paymentid' Parameter (falta de autorizacion) - version 1.52.1

PLUGIN MEDIUM CVE-2026-2729

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Forminator, que permite eludir la autorización para reutilizar pagos de Stripe sin autenticación. Esto puede resultar en transacciones no autorizadas, afectando la integridad financiera del sitio web.

Contexto técnico

El fallo se origina en la falta de autorización adecuada para el parámetro 'paymentid' en las solicitudes de Stripe. Esto permite a usuarios no autenticados realizar acciones que deberían estar restringidas, exponiendo el sistema a un riesgo de fraude financiero.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a pérdidas económicas significativas y comprometer la confianza de los usuarios en el sistema de pagos del sitio. Además, puede resultar en sanciones regulatorias si se manejan datos sensibles de forma inadecuada.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad manipulando el parámetro 'paymentid' en las solicitudes de pago, permitiendo eludir la autorización y realizar pagos no autorizados.

Mitigación recomendada

Actualizar el plugin Forminator a la versión 1.52.1 o superior para corregir la vulnerabilidad. Revisar y reforzar las configuraciones de seguridad relacionadas con los pagos en línea. Monitorear las transacciones para detectar actividades inusuales y validar la autenticidad de los usuarios.

Señales de detección

Revisar los logs de transacciones de Stripe en busca de patrones de acceso no autorizados y verificar configuraciones de autenticación en el plugin.

Alcance afectado

Las versiones del plugin Forminator hasta la 1.52.0 están afectadas. Se recomienda a los usuarios que actualicen inmediatamente para mitigar el riesgo.

Vulnerabilidades relacionadas

HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.52.1 - Unauthenticated Arbitrary File Read via 'upload-1[file][file_path]'

HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.44.2 - Unauthenticated PHP Object Injection (PHAR) Triggered via Administrator Form Submission Deletion

HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.44.2 - Unauthenticated Arbitrary File Deletion Triggered via Administrator Form Submission Deletion

CRITICAL PLUGIN

forminator

Forminator <= 1.28.1 - Unauthenticated Arbitrary File Upload

CRITICAL PLUGIN

forminator

Forminator <= 1.24.6 - Unauthenticated Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto