The Paid Memberships Pro plugin for WordPress is vulnerable to unauthorized modification and...

描述

The Paid Memberships Pro plugin for WordPress is vulnerable to unauthorized modification and disruption of Stripe webhook configuration in all versions up to, and including, 3.6.5. This is due to missing capability checks on the wp_ajax_pmpro_stripe_create_webhook, wp_ajax_pmpro_stripe_delete_webhook, and wp_ajax_pmpro_stripe_rebuild_webhook AJAX handlers. This makes it possible for authenticated attackers, with Subscriber-level access and above, to delete, create, or rebuild the site's Stripe webhook, disrupting all payment processing, subscription renewal synchronization, cancellation handling, and failed payment management.

基本信息

类型
unreviewed
严重度
high
GitHub 上的公告
打开公告 ↗
仓库公告
源代码
未指定
公开(公告)
2026-05-02 12:31:22 UTC
更新时间
2026-05-02 12:31:28 UTC
NVD 公开
2026-05-02

EPSS Score

Score Percentile
0.04% 10.74%

CVSS Scores

Base score Version Severity Vector
7.1 3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H 点击展开
攻击向量 (AV:N)
经互联网或企业内可路由网段即可从远端触达,攻击者不必出现在设备旁。
攻击复杂度 (AC:L)
前置条件清晰,成功路径稳定,不依赖罕见竞态或苛刻环境。
权限要求 (PR:L)
一般用户权限即可,不必是管理员或 root。
用户交互 (UI:N)
无需受害者点击链接、放行宏或安装软件,攻击链可自动走完。
作用域 (S:U)
破坏局限在脆弱组件原本的安全权限与信任域之内。
机密性影响 (C:N)
几乎谈不上实质性的敏感数据外泄。
完整性影响 (I:L)
能改局部记录或配置,但尚不致让整站/整库数据整体不可信。
可用性影响 (A:H)
可造成长时间中断、关键事务无法完成,或伴随数据损毁导致难以自愈。

Identifiers

CWEs

CWE id Name
CWE-862 Missing Authorization

References

cvelogic Threat Intelligence