Kostenlos scannen
Analyse ausstehendCVE-2026-4609

CVE-2026-4609: Unauthorized Access in ProfileGrid

Plattform

wordpress

Komponente

profilegrid-user-profiles-groups-and-communities

Behoben in

5.9.8.5

Auf NVD ansehen
Speichern

CVE-2026-4609 affects ProfileGrid, a WordPress plugin for user profiles, groups, and communities. This vulnerability allows authenticated attackers with Subscriber access or higher to bypass authorization and add users to any group, including closed and paid groups. The vulnerability exists in versions 0.0.0 through 5.9.8.4 and has been resolved in version 5.9.8.5.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarien

The primary impact of CVE-2026-4609 is the potential for unauthorized access to restricted groups within a WordPress site. Attackers can leverage this vulnerability to add themselves or other registered users to closed or paid groups without proper authorization or payment. This could lead to data breaches, exposure of sensitive information, and disruption of paid services. The ability to add arbitrary users to groups could also be exploited for privilege escalation, potentially granting attackers access to administrative functions within the ProfileGrid plugin itself, depending on group permissions.

Ausnutzungskontext

CVE-2026-4609 was published on May 13, 2026. Severity is rated HIGH with a CVSS score of 7.1. Currently, there are no publicly known active campaigns exploiting this vulnerability, but the ease of exploitation (requiring only Subscriber-level access) suggests a potential for opportunistic attacks. No indicators suggest this is on KEV or has a high EPSS score at this time. Monitor security advisories and threat intelligence feeds for updates.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N7.1HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponenteprofilegrid-user-profiles-groups-and-communities
Herstellerwordfence
Höchstversion5.9.8.4
Behoben in5.9.8.5

Schwachstellen-Klassifikation (CWE)

CWE-862

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert

Mitigation und Workarounds

The primary mitigation for CVE-2026-4609 is to immediately upgrade ProfileGrid to version 5.9.8.5 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider implementing a temporary workaround by restricting group membership management to administrators only. Review and tighten group permissions to minimize the potential impact of unauthorized access. Implement a Web Application Firewall (WAF) rule to block requests to the pminviteuser function with insufficient capabilities. Monitor WordPress logs for suspicious activity related to group membership changes.

So beheben

Aktualisieren Sie auf Version 5.9.8.5 oder eine neuere gepatchte Version

Häufig gestellte Fragen

What is CVE-2026-4609 — Unauthorized Access in ProfileGrid?

CVE-2026-4609 is a HIGH severity vulnerability in ProfileGrid versions 0.0.0–5.9.8.4 that allows authenticated attackers to bypass authorization and add users to any group, including paid ones.

Am I affected by CVE-2026-4609 in ProfileGrid?

You are affected if you are using ProfileGrid version 0.0.0 through 5.9.8.4. Check your plugin version and upgrade immediately if necessary.

How do I fix CVE-2026-4609 in ProfileGrid?

Upgrade ProfileGrid to version 5.9.8.5 or later to resolve this vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting group membership management to administrators.

Is CVE-2026-4609 being actively exploited?

There are currently no publicly known active campaigns exploiting CVE-2026-4609, but the ease of exploitation warrants caution and proactive mitigation.

Where can I find the official ProfileGrid advisory for CVE-2026-4609?

Refer to the ProfileGrid website and WordPress plugin repository for the official advisory and update information regarding CVE-2026-4609.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...