Hur vet jag om min sajt är påverkad?

Kör ett gratis test på sitesupport.co/testa-din-hemsida. Testet kontrollerar vilka tillägg och versioner du använder och jämför mot kända sårbarheter.

Vad ska jag göra om jag har en sårbar version?

Uppdatera till senaste versionen så snart som möjligt. Om ingen fix finns tillgänglig, överväg att tillfälligt inaktivera tillägget.

Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction

Name: Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction
Rating: 4.7

4.7/5

10 000+ installationer

Feature-packed membership plugin for creating subscription plans, adding recurring payments & content restriction on your membership site.

Kända sårbarheter

Kritiska / höga

2024-06-19

Senaste sårbarhet

10 000+

Aktiva installationer

Om Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction

Paid Membership Subscriptions är ett populärt WordPress-tillägg som gör det möjligt att skapa medlemssidor med prenumerationsplaner, återkommande betalningar och innehållsbegränsningar. Med över 10 000 aktiva installationer används det av många svenska företag för att monetisera sitt innehåll.

Säkerhetsläget

Tillägget har 15 dokumenterade sårbarheter, varav majoriteten (11 stycken) klassificeras som medium-risk. Mer allvarligt är att det finns 2 kritiska och 2 högrisk-sårbarheter. Den senaste kända sårbarheten upptäcktes så sent som i juni 2024, vilket visar att säkerhetsövervakning fortfarande är relevant.

Praktiska risker

De kritiska sårbarheterna kan potentiellt ge obehöriga tillgång till medlemsdata eller administratörsbehörigheter. Medium-risksårbarheterna handlar ofta om cross-site scripting (XSS) eller informationsläckage som kan missbrukas av angripare.

Våra rekommendationer

Håll alltid tillägget uppdaterat till senaste versionen
Övervåg säkerhetsloggar regelbundet
Använd starka lösenord för alla administratörskonton
Överväg att implementera tvåfaktorsautentisering
Testa funktionalitet efter varje uppdatering

Regelbundna uppdateringar är det absolut viktigaste skyddet mot kända sårbarheter och bör prioriteras högt i ert underhållsarbete.

Använder du Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction?

Kör ett gratis test och se om din hemsida är påverkad av dessa sårbarheter.

Testa din hemsida

Alla kända sårbarheter

Medel 2024-06-19 CVE-2024-1407

CVE-2024-1407: The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 2.12...

Påverkade versioner: < 3.0

The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 2.12.10. This is due to missing or incorrect nonce validati...

Medel 2024-05-02 CVE-2024-3215

CVE-2024-3215: The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 3.0....

Påverkade versioner: < 3.0.2

The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 3.0.1. This is due to missing or incorrect nonce validation...

Medel 2024-04-09 CVE-2024-0588

CVE-2024-0588: The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 2.12...

Påverkade versioner: < 3.0

Medel 2024-03-11 CVE-2024-1279

CVE-2024-1279: The Paid Memberships Pro WordPress plugin before 2.12.9 does not prevent user with at least the contributor role from leaking other users' sensitive metadata.

Påverkade versioner: < 2.12.9

The Paid Memberships Pro WordPress plugin before 2.12.9 does not prevent user with at least the contributor role from leaking other users' sensitive metadata.

Medel 2024-01-25 CVE-2024-0624

CVE-2024-0624: The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 2.12...

Påverkade versioner: <= 2.12.7

The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 2.12.7. This is due to missing or incorrect nonce validatio...

Medel 2024-01-11 CVE-2023-6855

CVE-2023-6855: The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to unauthorized modification of membership levels created by the plugin ...

Påverkade versioner: <= 2.12.5

The Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions plugin for WordPress is vulnerable to unauthorized modification of membership levels created by the plugin due to an incorrectly implemented capability check in t...

Hög 2023-11-18 CVE-2023-6187

CVE-2023-6187: The Paid Memberships Pro plugin for WordPress is vulnerable to arbitrary file uploads to insufficient file type validation in the 'pmpro_paypalexpress_session_vars_for_user_fields' function in vers...

Påverkade versioner: <= 2.12.3

The Paid Memberships Pro plugin for WordPress is vulnerable to arbitrary file uploads to insufficient file type validation in the 'pmpro_paypalexpress_session_vars_for_user_fields' function in versions up to, and including, 2.12.3. This makes it poss...

Medel 2023-10-20 CVE-2020-36754

CVE-2020-36754: The Paid Memberships Pro plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 2.4.2. This is due to missing or incorrect nonce validation on the pmpro...

Påverkade versioner: <= 2.4.2

The Paid Memberships Pro plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 2.4.2. This is due to missing or incorrect nonce validation on the pmpro_page_save() function. This makes it possible for una...

Hög 2023-03-20 CVE-2023-0631

CVE-2023-0631: The Paid Memberships Pro WordPress plugin before 2.9.12 does not prevent subscribers from rendering shortcodes that concatenate attributes directly into an SQL query.

Påverkade versioner: < 2.9.12

The Paid Memberships Pro WordPress plugin before 2.9.12 does not prevent subscribers from rendering shortcodes that concatenate attributes directly into an SQL query.

Medel 2023-02-13 CVE-2022-4830

CVE-2022-4830: The Paid Memberships Pro WordPress plugin before 2.9.9 does not validate and escape some of its shortcode attributes before outputting them back in the page, which could allow users with a role as ...

Påverkade versioner: < 2.9.9

The Paid Memberships Pro WordPress plugin before 2.9.9 does not validate and escape some of its shortcode attributes before outputting them back in the page, which could allow users with a role as low as contributor to perform Stored Cross-Site Scrip...

Kritisk 2023-01-20 CVE-2023-23488

CVE-2023-23488: The Paid Memberships Pro WordPress Plugin, version < 2.9.8, is affected by an unauthenticated SQL injection vulnerability in the 'code' parameter of the '/pmpro/v1/order' REST route.

Påverkade versioner: < 2.9.8

The Paid Memberships Pro WordPress Plugin, version < 2.9.8, is affected by an unauthenticated SQL injection vulnerability in the 'code' parameter of the '/pmpro/v1/order' REST route.

Kritisk 2022-02-07 CVE-2021-25114

CVE-2021-25114: The Paid Memberships Pro WordPress plugin before 2.6.7 does not escape the discount_code in one of its REST route (available to unauthenticated users) before using it in a SQL statement, leading to...

Påverkade versioner: < 2.4.5

The Paid Memberships Pro WordPress plugin before 2.6.7 does not escape the discount_code in one of its REST route (available to unauthenticated users) before using it in a SQL statement, leading to a SQL injection

Medel 2021-12-27 CVE-2021-24979

CVE-2021-24979: The Paid Memberships Pro WordPress plugin before 2.6.6 does not escape the s parameter before outputting it back in an attribute in an admin page, leading to a Reflected Cross-Site Scripting

Påverkade versioner: < 2.6.6

The Paid Memberships Pro WordPress plugin before 2.6.6 does not escape the s parameter before outputting it back in an attribute in an admin page, leading to a Reflected Cross-Site Scripting

Medel 2017-10-23 CVE-2015-5532

CVE-2015-5532: Multiple cross-site scripting (XSS) vulnerabilities in the Paid Memberships Pro (PMPro) plugin before 1.8.4.3 for WordPress allow remote attackers to inject arbitrary web script or HTML via the (1)...

Påverkade versioner: < 1.8.4.3

Multiple cross-site scripting (XSS) vulnerabilities in the Paid Memberships Pro (PMPro) plugin before 1.8.4.3 for WordPress allow remote attackers to inject arbitrary web script or HTML via the (1) s parameter to membershiplevels.php, (2) memberslist...

Medel 2014-11-28 CVE-2014-8801

CVE-2014-8801: Directory traversal vulnerability in services/getfile.php in the Paid Memberships Pro plugin before 1.7.15 for WordPress allows remote attackers to read arbitrary files via a .. (dot dot) in the QU...

Påverkade versioner: < 1.7.15

Directory traversal vulnerability in services/getfile.php in the Paid Memberships Pro plugin before 1.7.15 for WordPress allows remote attackers to read arbitrary files via a .. (dot dot) in the QUERY_STRING in a getfile action to wp-admin/admin-ajax...

Så skyddar du din sajt

Sårbarheter i tillägg är den vanligaste attackytan för WordPress-sajter. Det bästa skyddet är att vara proaktiv — här är tre konkreta steg.

Håll tillägget uppdaterat

De flesta sårbarheter i Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction åtgärdas snabbt av utvecklarna. Uppdatera alltid till senaste versionen.

Ta bort oanvända tillägg

Varje tillägg är en potentiell attackyta. Avinstallera det du inte aktivt använder.

Bevaka automatiskt

Med löpande övervakning upptäcker du problem innan de blir allvarliga.

Vill du slippa hålla koll själv? Med ett supportavtal från Sitesupport sköter vi uppdateringar och säkerhet åt dig.

Vanliga frågor om Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction

Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction har 15 kända sårbarheter, varav 4 med hög eller kritisk allvarlighetsgrad. Det betyder inte nödvändigtvis att tillägget är osäkert — de flesta sårbarheter åtgärdas i nya versioner. Det viktigaste är att alltid köra den senaste versionen.

Det enklaste sättet är att köra ett gratis test av din hemsida på sitesupport.co. Testet kontrollerar vilka tillägg du använder och vilka versioner som är installerade, och jämför det mot kända sårbarheter.

Uppdatera till den senaste versionen så snart som möjligt. Om det inte finns en uppdatering som åtgärdar problemet bör du överväga att tillfälligt inaktivera tillägget, särskilt om sårbarheten har kritisk eller hög allvarlighetsgrad.

Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction har över 10 000 aktiva installationer på WordPress.org och ett betyg på 4.7 av 5. Populära tillägg har generellt bättre säkerhetsrutiner tack vare större community och fler ögon på koden.