The ProfileGrid – User Profiles, Groups and Communities plugin for WordPress is vulnerable to unauthorized access due to a missing capability check on the pm_invite_user function in all versions up to, and including, 5.9.8.4. This makes it possible for authenticated attackers, with Subscriber-level access and above, to add themselves or any registered user to any ProfileGrid group, including closed and paid groups, bypassing all authorization and payment gates.
ProfileGrid WordPress plugin versions up to 5.9.8.4 lack capability checks in the pm_invite_user function, allowing authenticated subscribers to add themselves or others to any group including paid ones. This vulnerability bypasses authorization and payment mechanisms, enabling unauthorized access to restricted communities.
ثغرة في إضافة ProfileGrid الشهيرة لـ WordPress تسمح للمستخدمين المصرح لهم بالوصول غير المصرح به إلى المجموعات المقيدة والمدفوعة. الدالة pm_invite_user لا تتحقق من صلاحيات المستخدم بشكل صحيح، مما يسمح بتجاوز بوابات الدفع والتفويض.
ثغرة في إضافة ProfileGrid لـ WordPress تصل إلى الإصدار 5.9.8.4 تفتقد فحوصات الصلاحيات في دالة pm_invite_user. يمكن للمستخدمين المصرح لهم على مستوى المشترك إضافة أنفسهم أو مستخدمين آخرين إلى أي مجموعة بما فيها المجموعات المدفوعة والمغلقة.
Update ProfileGrid plugin to version 5.9.9 or later immediately. If immediate patching is not possible, restrict Subscriber-level user registrations and implement Web Application Firewall rules to monitor pm_invite_user function calls. Audit group memberships for unauthorized additions.
قم بتحديث إضافة ProfileGrid إلى الإصدار 5.9.9 أو أحدث فوراً. إذا لم يكن التحديث ممكناً، قيد تسجيل المستخدمين على مستوى المشترك وطبق قواعد جدار حماية تطبيقات الويب لمراقبة استدعاءات دالة pm_invite_user. تدقيق عضويات المجموعات للإضافات غير المصرحة.