CVE-2026-3445

Name of the Vulnerable Software and Affected Versions ProfilePress versões anteriores a 4.16.12

Description O plugin ProfilePress para WordPress é suscetível a um bypass de pagamento de assinatura não autorizado devido a uma verificação de propriedade ausente no parâmetro change plan sub id dentro da função process checkout(). Atacantes autenticados com acesso de nível de assinante ou superior podem manipular cálculos de proration referenciando a assinatura ativa de outro usuário durante o checkout através da ação AJAX ppress process checkout, potencialmente obtendo planos de assinatura vitalícia pagos sem pagamento.

Recommendations Atualize o ProfilePress para a versão 4.16.12 ou posterior.