CVE-2026-4100 in Paid Memberships Pro Plugin信息

摘要

由 VulDB • 2026-05-18

WordPress 插件 Paid Memberships Pro 在所有 3.6.5 及以下版本中，存在 Stripe Webhook 配置被未授权修改和破坏的漏洞。这是由于在 `wp_ajax_pmpro_stripe_create_webhook`、`wp_ajax_pmpro_stripe_delete_webhook` 和 `wp_ajax_pmpro_stripe_rebuild_webhook` AJAX 处理程序中缺少权限检查所致。这使得具有订阅者（Subscriber）级别及以上访问权限的已认证攻击者能够删除、创建或重建站点的 Stripe Webhook，从而破坏所有支付处理、订阅续订同步、取消处理以及失败支付管理。

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Wordfence

预定

2026-03-13

披露

2026-05-02

管理

已接受

条目

VDB-360851

CPE

准备好

CWE

CWE-862 (已确认)

CVSS

7.1 (CNA)

EPSS

0.00047

KEV

否

活动

非常低

部门

Hostingprovider

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4100
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4100
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4100/

◂ 上一步一览下一步 ▸

Might our Artificial Intelligence support you?

Check our Alexa App!