CVE-2026-5459 in User Frontend Plugin
Resumen
por VulDB • 2026-07-08
El plugin para WordPress User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration es vulnerable a una Referencia Directa de Objeto Insegura (Insecure Direct Object Reference) en todas las versiones hasta la 4.3.1 incluida, a través de la función payment_page() debido a la falta de validación sobre la clave 'user_id' controlada por el usuario. Esto permite que atacantes no autenticados activen un paquete de suscripción gratuita para cualquier usuario del sitio, sobrescribiendo su suscripción pagada existente y provocando la pérdida de las funciones de pago.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.