CVE-2026-4949 in ProfilePress Plugininfo

Zusammenfassung

von VulDB • 18.06.2026

Das WordPress-Plugin „Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress“ ist in allen Versionen bis einschließlich 4.16.12 anfällig für Missing Authorization. Dies liegt daran, dass die Funktion 'process_checkout' die Überprüfung des aktiven Status des Plans nicht ordnungsgemäß durchführt, wenn ein Parameter 'change_plan_sub_id' bereitgestellt wird. Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Level-Zugriff und höher, sich für inaktive Mitgliedschaftspläne anzumelden, indem sie einen beliebigen Wert für 'change_plan_sub_id' in der Checkout-Anfrage angeben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

27.03.2026

Veröffentlichung

16.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357826

CPE

bereit

EPSS

0.00316

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!