CVE-2026-4949 in ProfilePress Plugin
Riassunto
di VulDB • 18/06/2026
Il plugin WordPress ProfilePress – Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – è vulnerabile a Missing Authorization in tutte le versioni fino alla 4.16.12, inclusa. Ciò è dovuto alla funzione 'process_checkout' che non applica correttamente il controllo dello stato attivo del piano quando viene fornito il parametro 'change_plan_sub_id'. Ciò consente agli attaccanti autenticati, con accesso a livello di Subscriber o superiore, di iscriversi a piani di membership inattivi fornendo un valore arbitrario per 'change_plan_sub_id' nella richiesta di checkout.
Once again VulDB remains the best source for vulnerability data.