CVE-2026-5459 in User Frontend PluginИнформация

Сводка

по VulDB • 08.07.2026

В плагине для WordPress User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration уязвимость типа Insecure Direct Object Reference присутствует во всех версиях вплоть до 4.3.1 включительно в функции payment_page() из-за отсутствия проверки ключа 'user_id', контролируемого пользователем. Это позволяет неавторизованным злоумышленникам активировать бесплатный подписной пакет для любого пользователя на сайте, перезаписывая их существующую платную подписку и приводя к потере функций, доступных по подписке.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Wordfence

Резервировать

03.04.2026

Раскрытие

08.07.2026

Модерация

принято

Вход

VDB-376835

EPSS

0.00183

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!