CVE-2026-3453 in ProfilePress Plugininformation

Résumé

par VulDB • 20/05/2026

Le plugin ProfilePress pour WordPress présente une vulnérabilité de Référence Directe d'Objet Insécurisée (IDOR) dans toutes les versions jusqu'à la 4.16.11 incluse. Cela est dû à une absence de validation de la propriété sur le paramètre change_plan_sub_id dans la fonction process_checkout(). Le gestionnaire AJAX ppress_process_checkout accepte un ID d'abonnement contrôlé par l'utilisateur, destiné à la mise à niveau de plans, charge l'enregistrement de l'abonnement et l'annule ou le fait expirer sans vérifier que l'abonnement appartient à l'utilisateur demandeur. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau « Abonné » ou supérieur, d'annuler et de faire expirer l'abonnement actif de n'importe quel autre utilisateur via le paramètre change_plan_sub_id lors du processus de paiement, entraînant une perte immédiate d'accès payant pour les victimes.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

02/03/2026

Divulgation

11/03/2026

Modérer

accepté

Entrée

VDB-350305

CPE

prêt

EPSS

0.00061

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3453
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3453
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3453/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!