Vulnerabilidad en plugin Membership para WordPress (CVE-2025-14844)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/01/2026
Última modificación:
23/01/2026
Descripción
El plugin Membership Plugin – Restrict Content para WordPress es vulnerable a Autenticación Faltante en todas las versiones hasta la 3.2.16, inclusive, a través de la función 'rcp_stripe_create_setup_intent_for_saved_card' debido a la falta de verificación de capacidad. Además, el plugin no verifica una clave controlada por el usuario, lo que hace posible que atacantes no autenticados filtren valores client_secret de Stripe SetupIntent para cualquier membresía.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:liquidweb:restrict_content:*:*:*:*:*:wordpress:*:* | 3.2.17 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cwe.mitre.org/data/definitions/639.html
- https://docs.stripe.com/api/setup_intents/object
- https://plugins.trac.wordpress.org/browser/restrict-content/tags/3.2.16/core/includes/gateways/stripe/functions.php#L848
- https://plugins.trac.wordpress.org/browser/restrict-content/tags/3.2.16/core/includes/gateways/stripe/functions.php#L987
- https://plugins.trac.wordpress.org/changeset/3438168/restrict-content/tags/3.2.17/core/includes/gateways/stripe/functions.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/0c28545d-c7cd-469f-bccf-90e8b52fd4e7?source=cve