CVE-2025-14844: Lücke im WordPress-Plugin "Membership Plugin – Restrict Content" ermöglicht Datenlecks
⚠️ CVE-Referenzen:
CVE-2025-14844
Zusammenfassung
Das WordPress-Plugin "Membership Plugin – Restrict Content" ist in allen Versionen bis einschließlich 3.2.16 durch eine fehlende Authentifizierung verwundbar. Unbefugte Angreifer können so Stripe SetupIntent client_secret-Werte für jede Mitgliedschaft auslesen.
The Membership Plugin – Restrict Content plugin for WordPress is vulnerable to Missing Authentication in all versions up to, and including, 3.2.16 via the 'rcp_stripe_create_setup_intent_for_saved_card' function due to missing capability check. Additionally, the plugin does not check a user-controlled key, which makes it possible for unauthenticated attackers to leak Stripe SetupIntent client_secret values for any membership.
Quelle: app.opencve.io