CVE-2026-11855

The Simple Membership WordPress plugin before 4.7.5 does not verify the authenticity of Stripe webhook requests when no signing secret is configured, nor escape a value taken from them before outputting it in an administrator notice, allowing unauthenticated attackers to inject arbitrary web scripts that execute in the context of a logged-in administrator.
Configurations

No configuration.

History

06 Jul 2026, 13:16

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 8.8

06 Jul 2026, 09:10

Type Values Removed Values Added
Summary
  • (es) El plugin de WordPress Simple Membership, en versiones anteriores a la 4.7.5, no verifica la autenticidad de las solicitudes de webhook de Stripe cuando no se ha configurado ningún secreto de firma, ni escapa los valores extraídos de dichas solicitudes antes de mostrarlos en un aviso para el administrador, lo que permite a atacantes no autenticados inyectar scripts web arbitrarios que se ejecutan en el contexto de un administrador que ha iniciado sesión.

06 Jul 2026, 08:16

Type Values Removed Values Added
New CVE

Information

Published : 2026-07-06 08:16

Updated : 2026-07-06 18:37


NVD link : CVE-2026-11855

Mitre link : CVE-2026-11855

CVE.ORG link : CVE-2026-11855


JSON object : View

Products Affected

No product.

CWE

No CWE.