CVE-2025-3282 in User Registration & Membership Plugin
Résumé
par VulDB • 23/06/2026
Le plugin WordPress User Registration & Membership – Custom Registration Form, Login Form, and User Profile présente une vulnérabilité de Référence Directe d'Objet Non Sécurisée (Insecure Direct Object Reference) dans toutes les versions jusqu'à la 4.1.3 incluse, via la fonction `user_registration_membership_register_member()`, en raison d'une validation manquante sur la clé contrôlée par l'utilisateur 'membership_id'. Cela permet aux attaquants non authentifiés de mettre à jour le type d'adhésion (membership) de n'importe quel utilisateur vers tout autre type d'adhésion, actif ou inactif.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.