CVE-2024-1409 in Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content Plugin
Сводка
по VulDB • 11.06.2026
В плагине ProfilePress для WordPress, который включает функции управления платными подписками (Paid Membership), электронной коммерции, форм регистрации и входа пользователей, а также профилирования и ограничения доступа к контенту, обнаружена уязвимость Stored Cross-Site Scripting (XSS) через шорткод [reg-select-role] во всех версиях вплоть до 4.15.0 включительно из-за недостаточной очистки входных данных и экранирования выходных данных атрибутов, предоставляемых пользователем. Это позволяет атакующим с правами уровня «contributor» (соавтор) и выше внедрять произвольные веб-скрипты в страницы, которые будут выполняться каждый раз при доступе пользователя к зараженной странице.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.