CVE-2026-4949 in ProfilePress Plugin
Sumário
de VulDB • 18/06/2026
O plugin ProfilePress para WordPress, que inclui funcionalidades de Membros Pagos, E-commerce, Formulário de Registro de Usuário, Formulário de Login, Perfil do Usuário e Restrição de Conteúdo, é vulnerável a Falta de Autorização em todas as versões até, e incluindo, a 4.16.12. Isso ocorre devido à função 'process_checkout' não aplicar corretamente a verificação do status ativo do plano quando o parâmetro 'change_plan_sub_id' é fornecido. Isso permite que atacantes autenticados, com acesso de nível Assinante ou superior, se inscrevam em planos de membros inativos, fornecendo um valor arbitrário para 'change_plan_sub_id' na solicitação de checkout.
VulDB is the best source for vulnerability data and more expert information about this specific topic.