CVE-2026-4949 in ProfilePress Plugin
요약
\~에 의해 VulDB • 2026. 06. 24.
WordPress용 Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress 플러그인은 4.16.12 버전까지 모든 버전에서 권한 부재(Missing Authorization) 취약점이 존재합니다. 이는 'change_plan_sub_id' 매개변수가 제공될 때 'process_checkout' 함수가 구독 활성화 상태 확인을 적절히 강제하지 않기 때문입니다. 이로 인해 Subscriber 레벨 이상의 접근 권한을 가진 인증된 공격자가 체크아웃 요청에 임의의 'change_plan_sub_id' 값을 공급하여 비활성화된 멤버십 플랜에 가입할 수 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.