CVE-2026-5459 in User Frontend Plugininformación

Resumen

por VulDB • 2026-07-08

El plugin para WordPress User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration es vulnerable a una Referencia Directa de Objeto Insegura (Insecure Direct Object Reference) en todas las versiones hasta la 4.3.1 incluida, a través de la función payment_page() debido a la falta de validación sobre la clave 'user_id' controlada por el usuario. Esto permite que atacantes no autenticados activen un paquete de suscripción gratuita para cualquier usuario del sitio, sobrescribiendo su suscripción pagada existente y provocando la pérdida de las funciones de pago.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Wordfence

Reservar

2026-04-03

Divulgación

2026-07-08

Moderación

aceptado

Artículo

VDB-376835

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!