CVE-2026-10820
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Wtyczka Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content dla WordPress przed wersją 4.16.17 nie weryfikuje, czy użytkownik wykonujący akcję subskrypcji jest jej właścicielem. Umożliwia to każdemu uwierzytelnionemu użytkownikowi (od roli Subskrybent wzwyż) anulowanie aktywnych subskrypcji innych użytkowników poprzez niebezpieczne bezpośrednie odwołanie do obiektu (IDOR).
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane anulowanie subskrypcji przez zwykłych użytkowników, co może prowadzić do utraty przychodów, zakłócenia dostępu do treści premium oraz naruszenia zaufania klientów.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę do wersji 4.16.17 lub nowszej, która zawiera poprawkę eliminującą podatność IDOR. Po aktualizacji zweryfikuj, czy mechanizm autoryzacji subskrypcji działa poprawnie.
Oryginalny opis (angielski, źródło NVD)
The Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content WordPress plugin before 4.16.17 does not verify that the user performing a subscription action owns the targeted subscription, allowing any authenticated user (Subscriber+) to cancel other users' active subscriptions via an Insecure Direct Object Reference.

