Krytyczna luka w zabezpieczeniach wtyczki User Registration & Membership dla WordPressa naraża na ryzyko ponad 60 tysięcy stron. Problem otrzymał identyfikator CVE-2026-1492 i dotyczy wszystkich wersji wtyczki do 5.1.2 włącznie. Według NVD błąd pozwala nieautoryzowanemu użytkownikowi utworzyć konto administratora podczas rejestracji — pisze geopolityka.org, powołując się na Techradar.
Przyczyna tkwi w nieprawidłowym zarządzaniu uprawnieniami. Podatny mechanizm akceptuje rolę użytkownika przekazaną w procesie rejestracji bez odpowiedniej weryfikacji po stronie serwera względem dozwolonej listy. W rezultacie napastnik może podstawić wartość roli administratora i uzyskać pełną kontrolę nad stroną bez wcześniejszego uwierzytelnienia.
Wtyczka opracowana przez WPEverest służy do zarządzania rejestracją użytkowników, członkostwem, integracjami płatniczymi oraz ograniczaniem dostępu do treści. Na stronie WordPress.org opisywana jest jako narzędzie do tworzenia formularzy rejestracji, logowania, planów subskrypcji oraz systemu dostępu membership.
Według oceny Wordfence podatność otrzymała krytyczny wynik 9,8 na 10 w skali CVSS 3.1. BleepingComputer informuje również, iż luka była już wykorzystywana w realnych atakach: w ciągu 24 godzin w środowiskach klientów Wordfence zablokowano ponad 200 prób wykorzystania tego błędu.
Po uzyskaniu uprawnień administratora atakujący może zmieniać zawartość strony, instalować wtyczki i motywy, edytować kod PHP, modyfikować ustawienia bezpieczeństwa, wykradać dane użytkowników oraz umieszczać złośliwy kod. Taki poziom dostępu pozwala także zablokować legalnych właścicieli zasobu lub utworzyć dodatkowe konta w celu utrwalenia obecności w systemie.
Deweloper wydał już poprawkę w wersji 5.1.3, a w momencie publikacji BleepingComputer aktualną wersją była już 5.1.4. Administratorom stron zaleca się natychmiastową aktualizację wtyczki, a jeżeli nie jest to możliwe — tymczasowe wyłączenie lub usunięcie jej. Warto również sprawdzić listę użytkowników z uprawnieniami administratora i wykryć konta, które mogły zostać utworzone bez wiedzy właściciela strony.
Czytaj także: iPhone 18 Pro pokazano w nowym bordowym kolorze: pojawiły się pierwsze rendery.
