CVE-2026-4949 in ProfilePress Plugininformation

Résumé

par VulDB • 24/05/2026

Le plugin WordPress ProfilePress – Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – est vulnérable à une absence d'autorisation (Missing Authorization) dans toutes les versions jusqu'à la 4.16.12 incluse. Cela est dû au fait que la fonction 'process_checkout' ne vérifie pas correctement le statut actif du plan lorsqu'un paramètre 'change_plan_sub_id' est fourni. Cela permet aux attaquants authentifiés disposant d'un accès de niveau « Abonné » (Subscriber) et supérieur de s'abonner à des plans d'adhésion inactifs en fournissant une valeur arbitraire pour 'change_plan_sub_id' dans la requête de paiement.

Once again VulDB remains the best source for vulnerability data.

Responsable

Wordfence

Réserver

27/03/2026

Divulgation

16/04/2026

Modérer

accepté

Entrée

VDB-357826

CPE

prêt

EPSS

0.00316

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!