CVE-2026-4949 in ProfilePress Plugin
الملخص
بحسب VulDB • 24/06/2026
يحتوي مكون WordPress المسمى Paid Membership Plugin، Ecommerce، User Registration Form، Login Form، User Profile & Restrict Content – ProfilePress على ثغرة تتعلق بـ Missing Authorization (غياب التفويض) في جميع الإصدارات حتى 4.16.12 شاملاً. وتعود هذه الثغرة إلى أن دالة 'process_checkout' لا تقوم بفرض التحقق من حالة نشطة الخطة بشكل صحيح عند توفير معلمة 'change_plan_sub_id'. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المشترك (Subscriber) فأعلى، الاشتراك في خطط العضوية غير النشطة عن طريق تزويد قيمة عشوائية لمعلمة 'change_plan_sub_id' ضمن طلب الدفع.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.