Simple Membership 4.7.5 缺失授权导致未认证账户停用漏洞

漏洞概述 漏洞名称: Simple Membership <= 4.7.5 - Missing Authorization to Unauthenticated Arbitrary Member Account Deactivation via Forged Stripe 'charge.refunded' Webhook CVE ID: CVE-2026-12093 CVSS评分: 5.3 (Medium) 发布日期: 2026年6月17日 最后更新: 2026年6月18日 研究人员: Nikita Fienko - self 影响范围 受影响版本: Simple Membership <= 4.7.5 漏洞描述: Simple Membership 插件在4.7.5及更早版本中存在授权绕过漏洞。该漏洞允许未授权的攻击者通过伪造Stripe的 'charge.refunded' Webhook事件，将目标会员账户状态设置为“不活跃”，并触发取消钩子、交易记录状态更改和取消通知邮件。此漏洞仅在未配置Stripe webhook签名密钥的站点上可利用，即默认开箱即用的站点不受影响。 修复方案 修复版本: 升级到4.7.6或更高版本 补丁状态: 已修复 参考链接 plugins.trac.wordpress.org 其他信息 软件类型: 插件 软件Slug: simple-membership 补丁状态: 已修复 修复建议: 升级到4.7.6或更高版本 近期漏洞 Simple Membership <= 4.7.1 - Missing Authorization - CVE ID: CVE-2026-34886 - CVSS评分: 5.3 - 研究人员: Jakub Herman - 日期: 2026年3月31日 Simple Membership <= 4.7.0 - Unauthenticated Improper Handling of Missing Values - CVE ID: CVE-2026-1461 - CVSS评分: 6.5 - 研究人员: 0N0ise - 日期: 2026年2月18日 Simple Membership <= 4.6.9 - Missing Authorization - CVE ID: CVE-2026-25308 - CVSS评分: 4.3 - 研究人员: andrea bocchetti - 日期: 2026年1月19日 Simple Membership <= 4.6.3 - Authenticated (Administrator+) Stored Cross-Site Scripting via Shortcode - CVE ID: CVE-2025-49333 - CVSS评分: 4.4 - 研究人员: bittable - 日期: 2025年6月5日 Simple Membership <= 4.5.5 - Exposure of Private Personal Information to an Unauthorized Actor - CVE ID: CVE-2024-11088 - CVSS评分: 5.3 - 研究人员: Francesco Carlucci - 日期: 2024年11月20日 Simple Membership <= 4.5.3 - Unauthenticated Open Redirect - CVE ID: CVE-2024-49482 - CVSS评分: 6.1 - 研究人员: ardias - 日期: 2024年10月21日 Simple Membership <= 4.4.5 - Authenticated(Contributor+) Stored Cross-Site Scripting via Shortcode - CVE ID: CVE-2024-4383 - CVSS评分: 6.4 - 研究人员: wesley (wcraft) - 日期: 2024年5月3日 Simple Membership <= 4.4.3 - Authenticated(Contributor+) Stored Cross-Site Scripting via Shortcode - CVE ID: CVE-2024-3730 - CVSS评分: 5.4 - 研究人员: Thanh Nam Tran - 日期: 2024年4月24日 Simple Membership <= 4.4.2 - Unauthenticated Stored Self-Based Cross-Site Scripting - CVE ID: CVE-2024-1985 - CVSS评分: 4.7 - 研究人员: stealthcopier - 日期: 2024年3月5日 Simple Membership <= 4.4.1 - Open Redirect - CVE ID: CVE-2024-22308 - CVSS评分: 6.1 - 研究人员: Joshua Chan - 日期: 2024年1月19日 总结 Simple Membership 插件在4.7.5及更早版本中存在授权绕过漏洞，允许未授权的攻击者通过伪造Stripe的 'charge.refunded' Webhook事件，将目标会员账户状态设置为“不活跃”。建议升级到4.7.6或更高版本以修复此漏洞。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Simple Membership 4.7.5 缺失授权导致未认证账户停用漏洞

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Simple Membership 4.7.5 缺失授权导致未认证账户停用漏洞

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！