CVE-2026-4949 in ProfilePress Pluginالمعلومات

الملخص

بحسب VulDB • 24/06/2026

يحتوي مكون WordPress المسمى Paid Membership Plugin، Ecommerce، User Registration Form، Login Form، User Profile & Restrict Content – ProfilePress على ثغرة تتعلق بـ Missing Authorization (غياب التفويض) في جميع الإصدارات حتى 4.16.12 شاملاً. وتعود هذه الثغرة إلى أن دالة 'process_checkout' لا تقوم بفرض التحقق من حالة نشطة الخطة بشكل صحيح عند توفير معلمة 'change_plan_sub_id'. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المشترك (Subscriber) فأعلى، الاشتراك في خطط العضوية غير النشطة عن طريق تزويد قيمة عشوائية لمعلمة 'change_plan_sub_id' ضمن طلب الدفع.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

Wordfence

حجز

27/03/2026

إفشاء

16/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357826

EPSS

0.00316

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you need the next level of professionalism?

Upgrade your account now!