Plugin-ul membership din WordPress exploatat pentru a crea conturi de admin

Persoanele rău intenționate exploatează o vulnerabilitate critică în plugin-ul User Registration & Membership, care este instalat pe peste 60.000 de site-uri WordPress.

Dezvoltat de WPEverest, plugin-ul oferă funcții de gestionare a înregistrării utilizatorilor și a membrilor, inclusiv formulare personalizate, integrări de plăți cu PayPal și Stripe, transferuri bancare și analize.

Vulnerabilitatea este identificată ca CVE-2026-1492 și a primit un grad de severitate critic, cu un scor CvSS de 9.8/10. Deoarece plugin-ul acceptă un rol furnizat de utilizator în timpul înregistrării membrilor, atacatorii pot crea conturi de administrator fără autentificare.

Un cont de administrator are acces complet la site-ul web și este necesar pentru a instala plugin-uri și teme, a edita codul PHP, a modifica setările de securitate, a modifica conținutul site-ului și a bloca accesul deținătorilor sau administratorilor legitimi.

Un atacator cu acest nivel de acces poate sustrage date, cum ar fi baza de date a utilizatorilor înregistrați, și poate încorpora coduri malitioase pentru a distribui malware vizitatorilor.

Specialiștii din cadrul companiei de securitate WordPress Defiant, producătorul plugin-ului de securitate Wordfence, au blocat peste 200 de încercări de exploatare a vulnerabilității CVE-2026-1492 în mediile utilizatorilor.

Vulnerabilitatea afectează toate versiunile User Registration & Membership până la 5.1.2. Dezvoltatorul a lansat o remediere în versiunea 5.1.3 a plugin-ului. Administratorii site-urilor web sunt sfătuiți să actualizeze la cea mai recentă versiune a plugin-ului, care este în prezent 5.1.4, lansată săptămâna recent.

Dacă actualizarea nu este posibilă, se recomandă dezactivarea temporară sau dezinstalarea plugin-ului.

Persoanele rău intenționate vizează în mod constant site-urile WordPress pentru activități rău intenționate, care includ distribuirea de malware, phishing, găzduirea de servere de comandă și control, trafic proxy malițios sau stocarea datelor sustrase.

Sursă: https://www.bleepingcomputer.com/news/security/wordpress-membership-plugin-bug-exploited-to-create-admin-accounts/