CVE-2026-4058
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku sprawdzenia uprawnień w funkcji user_subscription_cancel(). To umożliwia uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta lub wyższym, anulowanie subskrypcji dowolnego użytkownika, w tym administratorów.
Ocena ryzyka
Organizacja może być narażona na ryzyko utraty kontroli nad subskrypcjami użytkowników, co może prowadzić do nieautoryzowanego dostępu do zasobów oraz zakłócenia działania usług.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych kontroli uprawnień w funkcji zarządzającej subskrypcjami.
Oryginalny opis (angielski, źródło NVD)
The User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the user_subscription_cancel() function in all versions up to, and including, 4.3.2. This makes it possible for authenticated attackers, with Subscriber-level access and above, to cancel any user's subscription pack, including administrators.

