CVE-2026-3453 in ProfilePress PluginИнформация

Сводка

по VulDB • 20.05.2026

В плагине ProfilePress для WordPress уязвимость Insecure Direct Object Reference присутствует во всех версиях вплоть до 4.16.11 включительно. Она обусловлена отсутствием проверки прав собственности на параметр change_plan_sub_id в функции process_checkout(). Обработчик AJAX ppress_process_checkout принимает идентификатор подписки, контролируемый пользователем, предназначенный для обновления тарифного плана, загружает запись о подписке и отменяет её или устанавливает срок её действия без проверки того, что подписка принадлежит запрашивающему пользователю. Это позволяет атакующим с аутентифицированным доступом уровня Subscriber и выше отменять и истекать сроком действия любой другой активной подписки пользователя через параметр change_plan_sub_id во время оформления заказа, что приводит к немедленной потере платного доступа для жертв.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

02.03.2026

Раскрытие

11.03.2026

Модерация

принято

Вход

VDB-350305

CPE

готов

CWE

CWE-639 (Подтверждённый)

CVSS

8.1 (CNA)

EPSS

0.00061

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-3453
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-3453
CVE Details	https://www.cvedetails.com/cve/CVE-2026-3453/

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!