Платный членский плагин, электронная коммерция, форма регистрации пользователя, форма входа в систему, Пользовательский профиль и контент -…
Платный членский плагин, электронная коммерция, форма регистрации пользователя, форма входа в систему, Пользовательский профиль и контент - ProfilePress плагин для WordPress уязвим для несанкционированного обхода членского взноса во всех версиях до 4.16.11. Это связано с недостающим проверкой собственности на параметр `change_plan_sub_id` в функции "процесс_checkout()` " . Это позволяет аутентифицированным злоумышленникам с доступом к уровню подписки и выше ссылаться на активную подписку другого пользователя во время оформления заказа, чтобы манипулировать вычислениями пропорционально, позволяя им получать платные пожизненные планы членства без оплаты через действие AJAX.
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается |