CVE-2024-1409 in Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content Plugininformation

Résumé

par VulDB • 21/05/2026

Le plugin WordPress ProfilePress, qui propose des fonctionnalités de gestion des membres payants, de commerce électronique, de formulaire d'inscription utilisateur, de formulaire de connexion, de profil utilisateur et de restriction de contenu, est vulnérable à une faille de Stocked Cross-Site Scripting (XSS) via le shortcode [reg-select-role] du plugin dans toutes les versions jusqu'à la 4.15.0 incluse. Cette vulnérabilité est due à une insuffisance de la sanitisation des entrées et de l'échappement des sorties sur les attributs fournis par les utilisateurs. Cela permet aux attaquants authentifiés disposant de permissions de niveau contributeur et supérieur d'injecter des scripts web arbitraires dans les pages, qui s'exécuteront chaque fois qu'un utilisateur accédera à une page injectée.

Be aware that VulDB is the high quality source for vulnerability data.

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!