CVE-2026-4609ProfileGrid WordPress插件在5.9.8.4及之前版本中存在权限绕过漏洞。由于pm_invite_user函数缺少能力检查,低权限认证用户(如订阅者)可将任意用户加入付费或私密群组,绕过授权和支付限制。
该漏洞源于ProfileGrid WordPress插件public/class-profile-magic-public.php文件中的pm_invite_user函数未实施有效的访问控制检查。在所有5.9.8.4及之前的版本中,该函数直接接收用户加入群组的请求,而未验证发起请求的用户是否具备相应的管理权或群组成员资格。攻击者仅需具备最低的订阅者权限,即可利用此漏洞。通过向目标站点发送特制的HTTP POST请求,指定目标群组ID和用户ID,攻击者可以绕过前端界面限制、付费网关及管理员审批流程,直接将自身或任意注册用户添加到封闭群组或付费群组中,从而导致权限提升和业务逻辑绕过。此缺陷破坏了插件原本设计的用户分组与权限隔离机制,使得低权限用户能够获取本应受保护的高级资源访问权限。