Katalog CVE

CVE-2026-1869

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Wtyczka User Registration & Membership dla WordPressa w wersjach do 5.2.0 zawiera podatność polegającą na braku walidacji w funkcji confirm_payment(). Umożliwia to nieuwierzytelnionym atakującym ominięcie procesu płatności i aktywację płatnych członkostw.

Ocena ryzyka

Organizacja może ponieść straty finansowe z powodu nieautoryzowanego dostępu do płatnych funkcji oraz naruszenia integralności danych subskrypcji.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę do najnowszej dostępnej wersji, która zawiera poprawkę dla tej podatności.

Oryginalny opis (angielski, źródło NVD)

The User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder plugin for WordPress is vulnerable to unauthorized modification of data due to missing validation checks in the confirm_payment() function in all versions up to, and including, 5.2.0. This makes it possible for unauthenticated attackers to bypass payment processing and activate paid memberships.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS