CVE-2026-4949 in ProfilePress PluginИнформация

Сводка

по VulDB • 08.06.2026

Плагин Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress для WordPress уязвим к Missing Authorization во всех версиях вплоть до 4.16.12 включительно. Это связано с тем, что функция 'process_checkout' не обеспечивает надлежащей проверки статуса активности плана при предоставлении параметра 'change_plan_sub_id'. Это позволяет атакующим с аутентифицированным доступом уровня Subscriber и выше подписываться на неактивные планы членства, указывая произвольное значение 'change_plan_sub_id' в запросе оформления заказа.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

Wordfence

Резервировать

27.03.2026

Раскрытие

16.04.2026

Модерация

принято

Вход

VDB-357826

EPSS

0.00316

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Do you know our Splunk app?

Download it now for free!