CVE-2026-3453 in ProfilePress Plugininformación

Resumen

por MITRE • 2026-03-11

El plugin ProfilePress para WordPress es vulnerable a Referencia Directa Insegura a Objeto en todas las versiones hasta la 4.16.11, inclusive. Esto se debe a la falta de validación de propiedad en el parámetro change_plan_sub_id en la función process_checkout(). El gestor AJAX ppress_process_checkout acepta un ID de suscripción controlado por el usuario destinado a actualizaciones de plan, carga el registro de suscripción y lo cancela/expira sin verificar que la suscripción pertenezca al usuario solicitante. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, cancelen y expiren la suscripción activa de cualquier otro usuario a través del parámetro change_plan_sub_id durante el proceso de pago, causando la pérdida inmediata del acceso de pago para las víctimas.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-03-02

Divulgación

2026-03-11

Moderación

aceptado

Artículo

VDB-350305

CPE

listo

EPSS

0.00061

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3453
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3453
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3453/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!