CVE-2026-4100 in Paid Memberships Pro Pluginthông tin

Tóm tắt

Bởi VulDB • 30/05/2026

Plugin Paid Memberships Pro cho WordPress có lỗ hổng cho phép sửa đổi và làm gián đoạn cấu hình webhook Stripe mà không có ủy quyền trong tất cả các phiên bản từ 3.6.5 trở về trước. Lỗ hổng này xuất hiện do thiếu các kiểm tra quyền hạn (capability checks) trên các trình xử lý AJAX `wp_ajax_pmpro_stripe_create_webhook`, `wp_ajax_pmpro_stripe_delete_webhook`, và `wp_ajax_pmpro_stripe_rebuild_webhook`. Điều này cho phép các kẻ tấn công đã xác thực, với quyền truy cập cấp Subscriber trở lên, xóa, tạo hoặc xây dựng lại webhook Stripe của trang web, gây gián đoạn toàn bộ quá trình xử lý thanh toán, đồng bộ hóa gia hạn đăng ký, xử lý hủy đăng ký và quản lý thanh toán thất bại.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

Wordfence

Đặt trước

13/03/2026

Tiết lộ

02/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-360851

CPE

sẵn sàng

CWE

CWE-862 (Đã xác nhận)

CVSS

7.1 (CNA)

EPSS

0.00047

KEV

không

Các hoạt động

rất thấp

ngành

Hostingprovider

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4100
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4100
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4100/

◂ Trước Tổng Quan Tiếp theo ▸

Do you know our Splunk app?

Download it now for free!