CVE-2026-4100WordPress Paid Memberships Pro插件在3.6.5及之前版本中存在安全漏洞。由于特定AJAX处理程序缺乏能力检查,导致权限验证缺失。经过身份验证的攻击者,仅需订阅者级别权限,即可未经授权地创建、删除或重建站点的Stripe Webhook配置。此漏洞可能导致支付处理中断、订阅同步失败、取消处理异常以及支付管理功能瘫痪,严重影响网站的商业运营。
该漏洞的根本原因在于WordPress插件开发过程中对AJAX处理函数的权限控制不当。具体而言,Paid Memberships Pro插件中用于管理Stripe Webhook的三个核心AJAX动作——`wp_ajax_pmpro_stripe_create_webhook`、`wp_ajax_pmpro_stripe_delete_webhook`和`wp_ajax_pmpro_stripe_rebuild_webhook`——未实施严格的角色权限检查。攻击者利用此漏洞时,首先需要注册一个合法账户并登录获取认证凭证。随后,通过向`/wp-admin/admin-ajax.php`发送包含特定动作参数的POST请求,即可触发相关函数。由于缺乏校验,服务器会执行Webhook的创建或删除操作。Stripe Webhook负责通知WordPress后端关于支付状态变更的信息,一旦被恶意删除或篡改,系统将无法接收支付成功或续费的通知,导致用户付费后无法开通服务或订阅到期后无法自动扣费,造成严重的业务连续性破坏。