CVE-2026-3453 in ProfilePress Plugininformação

Sumário

de VulDB • 20/05/2026

O plugin ProfilePress para WordPress é vulnerável a Insecure Direct Object Reference em todas as versões até, e incluindo, a 4.16.11. Isso ocorre devido à falta de validação de propriedade no parâmetro change_plan_sub_id na função process_checkout(). O manipulador AJAX ppress_process_checkout aceita um ID de assinatura controlado pelo usuário, destinado a atualizações de plano, carrega o registro da assinatura e a cancela/expira sem verificar se a assinatura pertence ao usuário que fez a solicitação. Isso permite que atacantes autenticados, com acesso de nível Assinante (Subscriber) e superior, cancelem e expirem a assinatura ativa de qualquer outro usuário por meio do parâmetro change_plan_sub_id durante o checkout, causando perda imediata do acesso pago para as vítimas.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

02/03/2026

Divulgação

11/03/2026

Moderação

aceite

Entrada

VDB-350305

CPE

pronto

EPSS

0.00061

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3453
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3453
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3453/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!