Katalog CVE

CVE-2026-10820

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Wtyczka Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content dla WordPress przed wersją 4.16.17 nie weryfikuje, czy użytkownik wykonujący akcję subskrypcji jest jej właścicielem. Umożliwia to każdemu uwierzytelnionemu użytkownikowi (od roli Subskrybent wzwyż) anulowanie aktywnych subskrypcji innych użytkowników poprzez niebezpieczne bezpośrednie odwołanie do obiektu (IDOR).

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane anulowanie subskrypcji przez zwykłych użytkowników, co może prowadzić do utraty przychodów, zakłócenia dostępu do treści premium oraz naruszenia zaufania klientów.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę do wersji 4.16.17 lub nowszej, która zawiera poprawkę eliminującą podatność IDOR. Po aktualizacji zweryfikuj, czy mechanizm autoryzacji subskrypcji działa poprawnie.

Oryginalny opis (angielski, źródło NVD)

The Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content WordPress plugin before 4.16.17 does not verify that the user performing a subscription action owns the targeted subscription, allowing any authenticated user (Subscriber+) to cancel other users' active subscriptions via an Insecure Direct Object Reference.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS