CVE-2026-4100

Nome do Software Vulnerável e Versões Afetadas Paid Memberships Pro versões anteriores a 3.6.6

Descrição O plugin Paid Memberships Pro para WordPress permite que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior modifiquem ou interrompam as configurações de webhook do Stripe. Isso ocorre devido à ausência de verificações de capacidade nos manipuladores AJAX wp ajax pmpro stripe create webhook(), wp ajax pmpro stripe delete webhook() e wp ajax pmpro stripe rebuild webhook(). A exploração pode levar à exclusão, criação ou reconstrução do webhook do Stripe do site, interrompendo todo o processamento de pagamentos, sincronização de renovação de assinaturas, manipulação de cancelamentos e gestão de pagamentos falhos.

Recomendações Atualize para uma versão posterior a 3.6.5. Como medida paliativa temporária, restrinja o acesso aos manipuladores wp ajax pmpro stripe create webhook(), wp ajax pmpro stripe delete webhook() e wp ajax pmpro stripe rebuild webhook().