Плагин ProfilePress для WordPress уязвим к небезопасной прямой ссылке на объект во всех версиях до 4.16.11 включительно. Это связано с отсутствием проверки владения параметромchange_plan_sub_id в функцииprocess_checkout(). Обработчик AJAX ppress_process_checkout принимает идентификатор подписки, управляемый пользователем, предназначенный для обновлений плана, загружает запись подписки и отменяет или прекращает ее действие без проверки принадлежности подписки запрашивающему пользователю.
Это позволяет злоумышленникам, прошедшим проверку подлинности, с доступом на уровне подписчика и выше, отменить и прекратить действие активной подписки любого другого пользователя с помощью параметраchange_plan_sub_id во время оформления заказа, что приводит к немедленной потере платного доступа для жертв.
Показать оригинальное описание (EN)
The ProfilePress plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 4.16.11. This is due to missing ownership validation on the change_plan_sub_id parameter in the process_checkout() function. The ppress_process_checkout AJAX handler accepts a user-controlled subscription ID intended for plan upgrades, loads the subscription record, and cancels/expires it without verifying the subscription belongs to the requesting user. This makes it possible for authenticated attackers, with Subscriber-level access and above, to cancel and expire any other user's active subscription via the change_plan_sub_id parameter during checkout, causing immediate loss of paid access for victims.
Характеристики атаки
Последствия
Строка CVSS v3.1