Katalog CVE

CVE-2026-11965

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Wtyczka User Registration & Membership dla WordPress przed wersją 5.2.0 nie wymusza finalizacji płatności przed aktywacją płatnej subskrypcji członkowskiej. Umożliwia to niezalogowanym użytkownikom (po samodzielnej rejestracji konta przez otwarty proces rejestracji) uzyskanie aktywnej subskrypcji dowolnego płatnego planu bez płacenia i dostęp do treści chronionych.

Ocena ryzyka

Organizacja narażona jest na straty finansowe i naruszenie modelu biznesowego, ponieważ osoby nieuprawnione mogą uzyskać dostęp do płatnych treści bez uiszczenia opłaty, co podważa integralność systemu subskrypcji.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę User Registration & Membership do wersji 5.2.0 lub nowszej, która wymusza finalizację płatności przed aktywacją subskrypcji.

Oryginalny opis (angielski, źródło NVD)

The User Registration & Membership WordPress plugin before 5.2.0 does not enforce payment completion before activating a paid membership subscription, allowing unauthenticated users (after self-registering an account through the open registration flow) to obtain an active subscription on any paid plan without paying and access the gated content.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS