Хакеры используют критическую уязвимость в плагине User Registration & Membership для WordPress, установленном на более чем 60 000 сайтов. Уязвимость CVE-2026-1492 позволяет создавать учетные записи администратора без аутентификации. — bleepingcomputer.com
Хакеры используют критическую уязвимость в плагине User Registration & Membership, который установлен более чем на 60 000 сайтов WordPress.
Плагин, разработанный WPEverest, предоставляет функции управления членством и регистрацией пользователей, включая настраиваемые формы, интеграцию платежей с PayPal и Stripe, банковские переводы и аналитику.
Уязвимость безопасности отслеживается как CVE-2026-1492 и получила критическую оценку серьезности 9.8. Поскольку плагин принимает роль, предоставленную пользователем, во время регистрации членства, хакеры могут создавать учетные записи администратора без аутентификации.
Учетная запись администратора предоставляет полный доступ к веб-сайту, и она необходима для установки плагинов и тем, редактирования PHP-кода, изменения настроек безопасности, модификации контента сайта и блокировки законных владельцев или администраторов.
Злоумышленник с таким уровнем доступа может украсть данные, например базу данных зарегистрированных пользователей, и внедрить вредоносный код для распространения вредоносного ПО среди посетителей.
Исследователи из компании по безопасности WordPress Defiant, создателя плагина безопасности Wordfence, заблокировали более 200 попыток эксплуатации CVE-2026-1492 в средах клиентов за последние 24 часа.
Уязвимость затрагивает все версии User Registration & Membership до 5.1.2 включительно. Разработчик выпустил исправление в версии 5.1.3 плагина. Администраторам сайтов рекомендуется обновиться до последней версии плагина, которая на данный момент — 5.1.4, выпущенная на прошлой неделе.
Если обновление невозможно, рекомендуется временно отключить или удалить плагин.
По данным Wordfence, CVE-2026-1492 является самой серьезной уязвимостью в плагине User Registration & Membership, раскрытой в этом году.
Хакеры постоянно нацеливаются на сайты WordPress для проведения вредоносных действий, которые включают распространение вредоносного ПО, фишинг, размещение командно-контрольных серверов, проксирование вредоносного трафика или хранение украденных данных.
В январе 2026 года хакеры начали использовать уязвимость максимальной серьезности (CVE-2026-23550) в плагине Modular DS для WordPress, что позволило им удаленно обойти аутентификацию и получить доступ к уязвимым сайтам с привилегиями администратора.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas