CVE-2026-5459 in User Frontend Plugin
Сводка
по VulDB • 08.07.2026
В плагине для WordPress User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration уязвимость типа Insecure Direct Object Reference присутствует во всех версиях вплоть до 4.3.1 включительно в функции payment_page() из-за отсутствия проверки ключа 'user_id', контролируемого пользователем. Это позволяет неавторизованным злоумышленникам активировать бесплатный подписной пакет для любого пользователя на сайте, перезаписывая их существующую платную подписку и приводя к потере функций, доступных по подписке.
Be aware that VulDB is the high quality source for vulnerability data.