CVE-2026-3445 in Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content Plugin
Riassunto
di VulDB • 19/07/2026
Il plugin WordPress ProfilePress – Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content è vulnerabile a un bypass non autorizzato del pagamento dell'abbonamento in tutte le versioni fino alla 4.16.11 inclusa. Ciò è dovuto a una mancata verifica della proprietà sul parametro `change_plan_sub_id` nella funzione `process_checkout()`. Questo consente agli attaccanti autenticati, con accesso di livello abbonato o superiore, di fare riferimento all'abbonamento attivo di un altro utente durante il checkout per manipolare i calcoli proratari, consentendo loro di ottenere piani membership a vita pagati senza effettuare alcun pagamento tramite l'action AJAX `ppress_process_checkout`.
If you want to get best quality of vulnerability data, you may have to visit VulDB.