Platform
wordpress
Component
s2member
Opgelost in
260127.0.1
CVE-2026-1994 beschrijft een privilege escalatie kwetsbaarheid in de s2Member WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om de wachtwoorden van gebruikers, inclusief beheerders, te wijzigen, wat resulteert in een accountovername. De kwetsbaarheid treft versies van s2Member tussen 0.0.0 en 260127. Een patch is beschikbaar in versie 260215.
Deze kwetsbaarheid is kritiek omdat een ongeauthenticeerde aanvaller de wachtwoorden van elke gebruiker in de WordPress installatie kan wijzigen. Dit omvat beheerdersaccounts, waardoor de aanvaller volledige controle over de website kan verkrijgen. De impact is aanzienlijk, aangezien de aanvaller toegang kan krijgen tot gevoelige gegevens, configuratiebestanden kan wijzigen en kwaadaardige code kan injecteren. Een succesvolle exploitatie kan leiden tot een volledige compromittering van de website en de daaraan gekoppelde data.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is gepubliceerd op 2026-02-19. Er zijn momenteel geen KEV-listings.
Exploit Status
EPSS
0.10% (28% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de s2Member plugin naar versie 260215 of hoger. Indien een directe upgrade problemen veroorzaakt, overweeg dan een rollback naar een eerdere, veilige versie van de plugin (indien beschikbaar). Controleer de WordPress plugin directory op alternatieve, veilige membership plugins. Implementeer een Web Application Firewall (WAF) met regels om pogingen tot wachtwoordwijziging van ongeauthenticeerde gebruikers te blokkeren. Monitor WordPress logs op verdachte activiteit, zoals ongebruikelijke wachtwoordwijzigingspogingen.
Update naar versie 260215, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1994 is a critical vulnerability in the s2Member WordPress plugin allowing unauthenticated attackers to change user passwords, potentially leading to account takeover. It affects versions 0.0.0–260127.
If you are using the s2Member plugin for WordPress and your version is between 0.0.0 and 260127 (inclusive), you are potentially affected by this vulnerability.
Upgrade the s2Member plugin to version 260215 or later to resolve this vulnerability. If immediate upgrade is not possible, implement stricter password policies and enable multi-factor authentication.
While no widespread exploitation has been publicly reported, the vulnerability's criticality and ease of exploitation suggest a potential for active campaigns. Continuous monitoring is recommended.
Refer to the official s2Member website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2026-1994.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.