Kritická zraniteľnosť modulu WordPress User Registration & Membership

Spoločnosť WPEverest vydala bezpečnostnú aktualizáciu svojho modulu User Registration & Membership pre WordPress, ktorá opravuje aktívne zneužívanú kritickú zraniteľnosť CVE-2026-1492. Vzdialený neautentifikovaný útočník ju môže zneužiť na vytvorenie administrátorského účtu.

Zraniteľné systémy:

• User Registration & Membership pre WordPress, verzia 5.1.2 a staršie

Opis činnosti:

CVE-2026-1492 (CVSS skóre 9,8)

Kritická chyba modulu User Registration & Membership pre WordPress vyplýva z nevhodného manažmentu oprávnení. Používateľ môže pri registrácii zadať svoju rolu, ktorú systém akceptuje bez overenia na strane servera. Neautentifikovaný útočník si tak môže vytvoriť účet s administrátorskými oprávneniami, s ktorým môže napríklad vykonávať zmeny na webstránke, pristupovať k jej databázam, inštalovať moduly, zasahovať do PHP kódu, či meniť bezpečnostné nastavenia.

Spoločnosť Defiant informovala o aktívnom zneužívaní zraniteľnosti.

Možné škody:

• Eskalácia oprávnení
• Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia modulu User Registration & Membership pre WordPress aspoň na verziu 5.1.3.

Taktiež odporúčame vykonať audit používateľských kont kvôli prítomnosti neautorizovaných účtov, prípadne logoch kvôli stopám poukazujúcim na pokus o zneužitie zraniteľnosti.

Odkazy:

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/user-registration/user-registration-membership-512-unauthenticated-privilege-escalation-via-membership-registration
• https://nvd.nist.gov/vuln/detail/CVE-2026-1492
• https://www.bleepingcomputer.com/news/security/wordpress-membership-plugin-bug-exploited-to-create-admin-accounts/