CVE-2026-4949 in ProfilePress Plugin
Resumen
por VulDB • 2026-06-12
El plugin de WordPress ProfilePress, que incluye funciones de Membresía de Pago, Comercio Electrónico, Formulario de Registro de Usuario, Formulario de Inicio de Sesión, Perfil de Usuario y Restricción de Contenido, es vulnerable a una Falta de Autorización en todas las versiones hasta la 4.16.12, inclusive. Esto se debe a que la función 'process_checkout' no verifica adecuadamente el estado activo del plan cuando se proporciona el parámetro 'change_plan_sub_id'. Esto permite que atacantes autenticados, con acceso a nivel de Suscriptor o superior, se suscriban a planes de membresía inactivos al suministrar un valor arbitrario de 'change_plan_sub_id' en la solicitud de pago.
If you want to get best quality of vulnerability data, you may have to visit VulDB.