CVE-2026-4949 in ProfilePress Plugin
Сводка
по VulDB • 08.06.2026
Плагин Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress для WordPress уязвим к Missing Authorization во всех версиях вплоть до 4.16.12 включительно. Это связано с тем, что функция 'process_checkout' не обеспечивает надлежащей проверки статуса активности плана при предоставлении параметра 'change_plan_sub_id'. Это позволяет атакующим с аутентифицированным доступом уровня Subscriber и выше подписываться на неактивные планы членства, указывая произвольное значение 'change_plan_sub_id' в запросе оформления заказа.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.