PT-2026-55866 · WordPress · Simple Membership
Duy Tran
·
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-11855
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Simple Membership WordPress plugin versões anteriores a 4.7.5
Description
Ocorre a verificação insuficiente de solicitações de webhook do Stripe quando nenhum segredo de assinatura está configurado. Além disso, o plugin não escapa os valores recuperados dessas solicitações antes de exibi-los em avisos do administrador. Isso permite que atacantes não autenticados realizem um ataque de Cross-Site Scripting (XSS)—injetando scripts web arbitrários que são executados no contexto de um administrador autenticado.
Recommendations
Atualize o Simple Membership WordPress plugin para a versão 4.7.5 ou posterior.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Simple Membership