CVE-2026-4949 in ProfilePress Plugininformazioni

Riassunto

di VulDB • 18/06/2026

Il plugin WordPress ProfilePress – Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – è vulnerabile a Missing Authorization in tutte le versioni fino alla 4.16.12, inclusa. Ciò è dovuto alla funzione 'process_checkout' che non applica correttamente il controllo dello stato attivo del piano quando viene fornito il parametro 'change_plan_sub_id'. Ciò consente agli attaccanti autenticati, con accesso a livello di Subscriber o superiore, di iscriversi a piani di membership inattivi fornendo un valore arbitrario per 'change_plan_sub_id' nella richiesta di checkout.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

27/03/2026

Divulgazione

16/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00316

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!