Plataforma
wordpress
Componente
user-registration
Corregido en
5.1.3
El plugin User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership para WordPress presenta una vulnerabilidad de elevación de privilegios. Esta falla permite a atacantes no autenticados crear cuentas de administrador, comprometiendo la seguridad del sitio web. La vulnerabilidad afecta a todas las versiones hasta la 5.1.2, y se ha solucionado en la versión 5.1.3.
La vulnerabilidad de elevación de privilegios en User Registration & Membership permite a un atacante no autenticado crear cuentas de administrador en un sitio WordPress. Esto significa que el atacante puede obtener control total sobre el sitio web, incluyendo la capacidad de modificar contenido, instalar malware, acceder a datos sensibles y comprometer a otros usuarios. La falta de una lista blanca en el lado del servidor para los roles de usuario permite a un atacante especificar un rol de administrador durante el registro de membresía, eludiendo las protecciones de seguridad estándar de WordPress. Esta vulnerabilidad es particularmente grave debido a su facilidad de explotación y el alto impacto potencial en la seguridad del sitio web. Un atacante podría, por ejemplo, inyectar código malicioso en el sitio web o robar información confidencial de los usuarios.
La vulnerabilidad CVE-2026-1492 fue publicada el 3 de marzo de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. No se ha listado en el KEV de CISA al momento de esta redacción. Se espera que la disponibilidad pública de un proof-of-concept (PoC) aumente el riesgo de explotación.
Estado del Exploit
EPSS
24.71% (96% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin User Registration & Membership a la versión 5.1.3 o superior, que corrige la vulnerabilidad de elevación de privilegios. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas medidas incluyen restringir el acceso a la página de registro de usuarios, implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas, y revisar cuidadosamente los roles de usuario existentes para detectar cuentas de administrador no autorizadas. Además, se recomienda monitorear los registros del servidor en busca de actividad sospechosa, como intentos de creación de cuentas con roles de administrador no válidos. Después de la actualización, confirme que la funcionalidad de registro de usuarios funciona correctamente y que los roles de usuario se aplican correctamente.
Actualizar a la versión 5.1.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1492 is a critical vulnerability in the User Registration & Membership plugin for WordPress that allows unauthenticated attackers to create administrator accounts, granting them full control over the website.
You are affected if your WordPress site uses the User Registration & Membership plugin and is running version 5.1.2 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade the User Registration & Membership plugin to version 5.1.3 or later. If immediate upgrade is not possible, consider temporary workarounds like restricting roles during registration.
While no active campaigns have been publicly reported, the vulnerability's simplicity and high severity make it a likely target for attackers. Continuous monitoring is recommended.
Refer to the official WordPress security announcements and the plugin developer's website for the latest information and advisory regarding CVE-2026-1492.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.