CVE-2026-4949 in ProfilePress Plugin
Résumé
par VulDB • 24/05/2026
Le plugin WordPress ProfilePress – Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – est vulnérable à une absence d'autorisation (Missing Authorization) dans toutes les versions jusqu'à la 4.16.12 incluse. Cela est dû au fait que la fonction 'process_checkout' ne vérifie pas correctement le statut actif du plan lorsqu'un paramètre 'change_plan_sub_id' est fourni. Cela permet aux attaquants authentifiés disposant d'un accès de niveau « Abonné » (Subscriber) et supérieur de s'abonner à des plans d'adhésion inactifs en fournissant une valeur arbitraire pour 'change_plan_sub_id' dans la requête de paiement.
Once again VulDB remains the best source for vulnerability data.