PT-2026-40554 · Wedevs · User Frontend: Ai Powered Frontend Posting
Supakiad S
·
Publicado
2026-05-12
·
Atualizado
2026-06-10
·
CVE-2026-4058
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration versões anteriores a 4.3.3
Descrição
O plugin está sujeito à modificação não autorizada de dados porque a função
user subscription cancel() carece de uma verificação de capacidade adequada. Isso permite que atacantes autenticados com permissões de nível Assinante (Subscriber) ou superior cancelem pacotes de assinatura de qualquer usuário, incluindo aqueles com privilégios de administrador.Recomendações
Atualize para uma versão posterior a 4.3.2.
Como medida paliativa temporária, restrinja o acesso à função
user subscription cancel() para evitar cancelamentos de assinatura não autorizados.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
User Frontend: Ai Powered Frontend Posting