CVE-2026-4949 in ProfilePress Plugininformação

Sumário

de VulDB • 18/06/2026

O plugin ProfilePress para WordPress, que inclui funcionalidades de Membros Pagos, E-commerce, Formulário de Registro de Usuário, Formulário de Login, Perfil do Usuário e Restrição de Conteúdo, é vulnerável a Falta de Autorização em todas as versões até, e incluindo, a 4.16.12. Isso ocorre devido à função 'process_checkout' não aplicar corretamente a verificação do status ativo do plano quando o parâmetro 'change_plan_sub_id' é fornecido. Isso permite que atacantes autenticados, com acesso de nível Assinante ou superior, se inscrevam em planos de membros inativos, fornecendo um valor arbitrário para 'change_plan_sub_id' na solicitação de checkout.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

Wordfence

Reservar

27/03/2026

Divulgação

16/04/2026

Moderação

aceite

Entrada

VDB-357826

CPE

pronto

EPSS

0.00316

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!