Kostenlos scannen
Analyse ausstehendCVE-2026-4607

CVE-2026-4607: Authorization Bypass in ProfileGrid WordPress Plugin

Plattform

wordpress

Komponente

profilegrid-user-profiles-groups-and-communities

Behoben in

5.9.8.5

Auf NVD ansehen
Speichern

CVE-2026-4607 describes an authorization bypass vulnerability affecting the ProfileGrid WordPress plugin. An authenticated attacker, even with Subscriber-level access, can manipulate critical site-wide group settings, potentially leading to configuration drift and unexpected behavior. This vulnerability impacts versions 0.0.0 through 5.9.8.4, and a patch is available in version 5.9.8.5.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarienwird übersetzt…

The primary impact of this vulnerability lies in the ability of an attacker to modify ProfileGrid group settings without proper authorization. This includes altering the group menu order, list order, icon display, and field ordering. While not a direct data breach, unauthorized modification of these settings can disrupt site functionality, create confusion for administrators, and potentially lead to misconfiguration impacting user experience. An attacker could systematically alter group settings to hinder legitimate users or create a misleading site structure. The blast radius is limited to the ProfileGrid plugin's functionality within the WordPress site, but the impact on site administration and user experience can be significant.

Ausnutzungskontextwird übersetzt…

CVE-2026-4607 was published on May 13, 2026. Its CVSS score is 4.3 (MEDIUM). As of this writing, there are no publicly known Proof-of-Concept (POC) exploits. The vulnerability is not currently listed on KEV or EPSS, suggesting a low to medium probability of active exploitation. Monitor security advisories and WordPress vulnerability databases for updates.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponenteprofilegrid-user-profiles-groups-and-communities
Herstellerwordfence
Höchstversion5.9.8.4
Behoben in5.9.8.5

Schwachstellen-Klassifikation (CWE)

CWE-862

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert

Mitigation und Workaroundswird übersetzt…

The primary mitigation is to upgrade the ProfileGrid plugin to version 5.9.8.5 or later. If an immediate upgrade is not feasible due to compatibility concerns or testing requirements, consider implementing a temporary workaround by restricting access to the pmsetgrouporder, pmsetgroupitems, and pmsetfield_order AJAX actions to administrators only. This can be achieved through custom code or a WordPress security plugin. Monitor WordPress logs for suspicious activity related to these AJAX actions. After upgrading, confirm the fix by logging in as a Subscriber and attempting to modify group settings – the action should be denied.

So beheben

Aktualisieren Sie auf Version 5.9.8.5 oder eine neuere gepatchte Version

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-4607 — Authorization Bypass in ProfileGrid WordPress Plugin?

CVE-2026-4607 is a medium severity vulnerability in the ProfileGrid WordPress plugin allowing authenticated users (Subscriber level and above) to modify site-wide group settings without proper authorization, impacting configuration and potentially user experience.

Am I affected by CVE-2026-4607 in ProfileGrid WordPress Plugin?

You are affected if your WordPress site uses the ProfileGrid plugin and is running version 5.9.8.4 or earlier. Upgrade to 5.9.8.5 to mitigate the risk.

How do I fix CVE-2026-4607 in ProfileGrid WordPress Plugin?

Upgrade the ProfileGrid plugin to version 5.9.8.5 or later. As a temporary workaround, restrict access to the vulnerable AJAX actions to administrators only.

Is CVE-2026-4607 being actively exploited?

As of the current assessment, CVE-2026-4607 is not known to be actively exploited, but continuous monitoring is recommended.

Where can I find the official ProfileGrid advisory for CVE-2026-4607?

Refer to the official ProfileGrid website and WordPress plugin repository for the latest advisory and update information regarding CVE-2026-4607.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...