Plataforma
wordpress
Componente
user-registration
Corregido en
5.1.5
El plugin User Registration & Membership para WordPress presenta una vulnerabilidad de modificación no autorizada de datos. Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, manipular las reglas de restricción de contenido del sitio. Las versiones afectadas son 5.0.1 hasta 5.1.4. Se recomienda actualizar a la versión 5.1.5 para mitigar este riesgo.
Esta vulnerabilidad permite a un atacante con privilegios de Contribuidor o superiores acceder y modificar las reglas de restricción de contenido del sitio web. Esto podría resultar en la exposición de contenido restringido a usuarios no autorizados, la denegación de acceso a contenido legítimo o incluso la manipulación de la funcionalidad del sitio. Un atacante podría, por ejemplo, crear reglas que permitan el acceso a áreas administrativas o modificar las restricciones de contenido para fines maliciosos. La falta de una verificación adecuada de permisos en las API REST de Content Access Rules es la causa principal de esta vulnerabilidad.
Esta vulnerabilidad fue publicada el 23 de marzo de 2026. Actualmente no se dispone de información sobre explotación activa en campañas conocidas. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Websites utilizing the User Registration & Membership plugin, particularly those with a large number of users with Contributor or higher roles, are at risk. Shared hosting environments where users have more extensive permissions than typically granted are also particularly vulnerable. Sites relying on content restriction rules for sensitive data or restricted access areas face the highest risk.
• wordpress / plugin:
wp plugin list | grep 'User Registration & Membership'• wordpress / plugin: Check plugin version. If < 5.1.5, the system is vulnerable.
wp plugin version user-registration-and-membership• wordpress / plugin: Examine WordPress access logs for requests to /wp-json/user-registration/v1/rules originating from users with Contributor or lower roles.
• wordpress / plugin: Review WordPress user roles and capabilities to ensure only administrators have access to manage content restriction rules.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin User Registration & Membership a la versión 5.1.5 o superior, donde se ha corregido la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede limitar el acceso a las API REST de Content Access Rules mediante reglas de firewall de aplicaciones web (WAF) o proxies inversos, restringiendo el acceso solo a usuarios con privilegios de administrador. Monitorear los logs del sitio en busca de accesos inusuales a las API REST también puede ayudar a detectar actividad maliciosa.
Actualizar a la versión 5.1.5, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4056 is a medium-severity vulnerability in the WordPress User Registration & Membership plugin (versions 5.0.1–5.1.4) allowing authenticated users with Contributor access to modify content restriction rules.
You are affected if you are using WordPress User Registration & Membership plugin versions 5.0.1 through 5.1.4. Upgrade to 5.1.5 or later to mitigate the risk.
Upgrade the User Registration & Membership plugin to version 5.1.5 or later. As a temporary workaround, restrict access to the Content Access Rules REST API endpoints to administrators only.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2026-4056, but the ease of exploitation warrants vigilance.
Refer to the WordPress security advisory for CVE-2026-4056 on the WordPress.org website for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.