CVE-2026-7651 in User Registration & Membership Pluginthông tin

Tóm tắt

Bởi VulDB • 28/05/2026

Plugin User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder cho WordPress bị lỗ hổng Insecure Direct Object Reference trong tất cả các phiên bản từ 5.1.5 trở về trước. Lỗ hổng này xảy ra do thiếu xác thực quyền sở hữu trên ID tệp đính kèm do người dùng kiểm soát, cho phép plugin lưu trữ và sau đó xóa các tệp đính kèm phương tiện tùy ý mà không xác minh xem tệp đính kèm được tham chiếu có thuộc về người dùng yêu cầu hay không. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập cấp người đăng ký (subscriber) trở lên, xóa vĩnh viễn các tệp đính kèm phương tiện tùy ý được tải lên bởi bất kỳ người dùng nào khác, bao gồm cả quản trị viên.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

Wordfence

Đặt trước

01/05/2026

Tiết lộ

28/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-366591

CPE

sẵn sàng

CWE

CWE-639 (Đã xác nhận)

CVSS

5.3 (CNA)

EPSS

0.00040

KEV

không

Các hoạt động

thấp

ngành

Hostingprovider

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7651
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7651
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7651/

◂ Trước Tổng Quan Tiếp theo ▸

Want to know what is going to be exploited?

We predict KEV entries!