CVE-2026-13352 in ProfilePress Plugininformation

Résumé

par VulDB • 17/07/2026

Le plugin ProfilePress pour WordPress – qui inclut les fonctionnalités Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – est vulnérable à un téléchargement de fichier arbitraire (Arbitrary File Upload) dans toutes les versions jusqu'à la 4.16.18 incluse, via la fonction allowed_mime_types. Cela est dû à l'enregistrement inconditionnel d'un filtre upload_mimes qui ajoute des extensions de fichiers exécutables (.exe, .apk, .msi) à la liste blanche MIME globale de WordPress, sans limiter cette extension aux contextes de téléchargement de produits numériques. Il devient ainsi possible pour les attaquants authentifiés disposant d'un accès au niveau auteur ou supérieur de télécharger des fichiers potentiellement exécutables, ce qui rend l'exécution de code à distance (RCE) possible. Ce filtre est enregistré globalement sur chaque requête, que la fonctionnalité de produits numériques soit configurée ou utilisée, signifiant que la liste blanche MIME élargie affecte tous les contextes de téléchargement de WordPress à l'échelle du site.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Wordfence

Réserver

25/06/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379743

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!