CVE-2026-4949 in ProfilePress Plugininformación

Resumen

por VulDB • 2026-06-12

El plugin de WordPress ProfilePress, que incluye funciones de Membresía de Pago, Comercio Electrónico, Formulario de Registro de Usuario, Formulario de Inicio de Sesión, Perfil de Usuario y Restricción de Contenido, es vulnerable a una Falta de Autorización en todas las versiones hasta la 4.16.12, inclusive. Esto se debe a que la función 'process_checkout' no verifica adecuadamente el estado activo del plan cuando se proporciona el parámetro 'change_plan_sub_id'. Esto permite que atacantes autenticados, con acceso a nivel de Suscriptor o superior, se suscriban a planes de membresía inactivos al suministrar un valor arbitrario de 'change_plan_sub_id' en la solicitud de pago.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

Wordfence

Reservar

2026-03-27

Divulgación

2026-04-16

Moderación

aceptado

Artículo

VDB-357826

CPE

listo

EPSS

0.00316

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!