CVE-2026-4949 in ProfilePress Plugin
Zusammenfassung
von VulDB • 18.06.2026
Das WordPress-Plugin „Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress“ ist in allen Versionen bis einschließlich 4.16.12 anfällig für Missing Authorization. Dies liegt daran, dass die Funktion 'process_checkout' die Überprüfung des aktiven Status des Plans nicht ordnungsgemäß durchführt, wenn ein Parameter 'change_plan_sub_id' bereitgestellt wird. Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Level-Zugriff und höher, sich für inaktive Mitgliedschaftspläne anzumelden, indem sie einen beliebigen Wert für 'change_plan_sub_id' in der Checkout-Anfrage angeben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.