Im WordPress-Plugin Membership Plugin – Restrict Content wurde eine schwerwiegende Sicherheitslücke entdeckt, die alle Versionen bis einschließlich 3.2.16 betrifft. Die unter CVE-2025-14844 geführte Schwachstelle erlaubt aufgrund fehlender Authentifizierungs- und Berechtigungsprüfungen einen unautorisierten Zugriff auf sensible Daten.
Konkret fehlt in der Funktion rcp_stripe_create_setup_intent_for_saved_card eine Capability-Prüfung. Zusätzlich wird ein vom Nutzer kontrollierbarer Schlüssel nicht validiert, wodurch es für nicht authentifizierte Angreifer möglich ist, Stripe SetupIntent client_secret-Werte beliebiger Mitgliedschaften auszulesen. Dies kann zur Offenlegung sensibler Zahlungsinformationen führen und stellt ein hohes Risiko für die Vertraulichkeit dar.
Die Schwachstelle wird mit einem CVSS-Score von 8,2 als hoch eingestuft und ist ohne Benutzerinteraktion sowie ohne vorherige Authentifizierung ausnutzbar. Administratoren von WordPress-Websites, die das Plugin einsetzen, sollten umgehend prüfen, ob ein Sicherheitsupdate verfügbar ist oder das Plugin vorübergehend deaktivieren, um einen möglichen Missbrauch zu verhindern.
