Platform
wordpress
Component
user-registration
Opgelost in
5.1.3
De User Registration & Membership plugin voor WordPress, specifiek de Custom Registration Form Builder, Custom Login Form, User Profile en Content Restriction & Membership functionaliteit, vertoont een Privilege Escalation kwetsbaarheid. Deze kwetsbaarheid stelt ongeautoriseerde aanvallers in staat om administrator accounts te creëren door een rol op te geven tijdens het registratieproces. De kwetsbaarheid is aanwezig in versies van 0.0.0 tot en met 5.1.2. Een patch is beschikbaar in versie 5.1.3.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om een administrator account te creëren zonder de juiste authenticatie. Dit geeft de aanvaller volledige controle over de WordPress website, inclusief de mogelijkheid om data te wijzigen, te verwijderen of te stelen, en om kwaadaardige code uit te voeren. De impact is aanzienlijk, aangezien de aanvaller de website kan compromitteren en de integriteit ervan kan ondermijnen. Dit kan leiden tot dataverlies, reputatieschade en financiële verliezen. De kwetsbaarheid is vergelijkbaar met scenario's waarbij gebruikersrollen onvoldoende worden gevalideerd, wat kan leiden tot ongeautoriseerde toegang tot gevoelige systemen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-03. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid (CVSS 9.8) suggereert een potentieel voor actieve exploitatie. Het is aan te raden om de website te beveiligen en te monitoren op verdachte activiteiten. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Exploit Status
EPSS
24.71% (96% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de User Registration & Membership plugin naar versie 5.1.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rollen die gebruikers tijdens registratie kunnen selecteren. Implementeer een server-side allowlist om te voorkomen dat ongewenste rollen worden toegewezen. Controleer de WordPress logs op verdachte registratiepogingen. Na de upgrade, controleer de gebruikersaccounts om er zeker van te zijn dat er geen ongeautoriseerde administrator accounts zijn aangemaakt.
Update naar versie 5.1.3, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1492 is a critical vulnerability in the User Registration & Membership plugin for WordPress that allows unauthenticated attackers to create administrator accounts, granting them full control over the website.
You are affected if your WordPress site uses the User Registration & Membership plugin and is running version 5.1.2 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade the User Registration & Membership plugin to version 5.1.3 or later. If immediate upgrade is not possible, consider temporary workarounds like restricting roles during registration.
While no active campaigns have been publicly reported, the vulnerability's simplicity and high severity make it a likely target for attackers. Continuous monitoring is recommended.
Refer to the official WordPress security announcements and the plugin developer's website for the latest information and advisory regarding CVE-2026-1492.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.