CVE-2026-1869
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka User Registration & Membership dla WordPressa w wersjach do 5.2.0 zawiera podatność polegającą na braku walidacji w funkcji confirm_payment(). Umożliwia to nieuwierzytelnionym atakującym ominięcie procesu płatności i aktywację płatnych członkostw.
Ocena ryzyka
Organizacja może ponieść straty finansowe z powodu nieautoryzowanego dostępu do płatnych funkcji oraz naruszenia integralności danych subskrypcji.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę do najnowszej dostępnej wersji, która zawiera poprawkę dla tej podatności.
Oryginalny opis (angielski, źródło NVD)
The User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder plugin for WordPress is vulnerable to unauthorized modification of data due to missing validation checks in the confirm_payment() function in all versions up to, and including, 5.2.0. This makes it possible for unauthenticated attackers to bypass payment processing and activate paid memberships.

