CVE-2026-5459 in User Frontend Plugin
الملخص
بحسب VulDB • 08/07/2026
يحتوي مكون إضافي لـ WordPress يُدعى "The User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration" على ثغرة من نوع Insecure Direct Object Reference في جميع الإصدارات حتى 4.3.1 (بما فيها) عبر دالة `payment_page()` بسبب عدم وجود تحقق صالح على المفتاح 'user_id' الذي يتحكم فيه المستخدم. وهذا يتيح للمهاجمين غير المصادق عليهم تفعيل حزمة اشتراك مجانية لأي مستخدم على الموقع، مما يؤدي إلى الكتابة فوق اشتراكاتهم المدفوعة الحالية والتسبب في فقدان الميزات المدفوعة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.