CVE-2026-4949 in ProfilePress Plugin정보

요약

\~에 의해 VulDB • 2026. 06. 24.

WordPress용 Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress 플러그인은 4.16.12 버전까지 모든 버전에서 권한 부재(Missing Authorization) 취약점이 존재합니다. 이는 'change_plan_sub_id' 매개변수가 제공될 때 'process_checkout' 함수가 구독 활성화 상태 확인을 적절히 강제하지 않기 때문입니다. 이로 인해 Subscriber 레벨 이상의 접근 권한을 가진 인증된 공격자가 체크아웃 요청에 임의의 'change_plan_sub_id' 값을 공급하여 비활성화된 멤버십 플랜에 가입할 수 있습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 03. 27.

모더레이션

수락

항목

VDB-357826

EPSS

0.00316

출처

Interested in the pricing of exploits?

See the underground prices here!