CVE-2026-5459 in User Frontend Pluginالمعلومات

الملخص

بحسب VulDB • 08/07/2026

يحتوي مكون إضافي لـ WordPress يُدعى "The User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration" على ثغرة من نوع Insecure Direct Object Reference في جميع الإصدارات حتى 4.3.1 (بما فيها) عبر دالة `payment_page()` بسبب عدم وجود تحقق صالح على المفتاح 'user_id' الذي يتحكم فيه المستخدم. وهذا يتيح للمهاجمين غير المصادق عليهم تفعيل حزمة اشتراك مجانية لأي مستخدم على الموقع، مما يؤدي إلى الكتابة فوق اشتراكاتهم المدفوعة الحالية والتسبب في فقدان الميزات المدفوعة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

03/04/2026

إفشاء

08/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-376835

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!