Зараз читаєте: Понад 60 тисяч сайтів на WordPress під загрозою через критичну вразливість у популярному плагіні
-
01
Понад 60 тисяч сайтів на WordPress під загрозою через критичну вразливість у популярному плагіні
Понад 60 тисяч сайтів на WordPress під загрозою через критичну вразливість у популярному плагіні
Критична вразливість у плагіні User Registration & Membership для WordPress ставить під ризик понад 60 тисяч сайтів. Проблема отримала ідентифікатор CVE-2026-1492 і зачіпає всі версії плагіна до 5.1.2 включно. За даними NVD, помилка дає змогу неавторизованому користувачу створити обліковий запис адміністратора під час реєстрації, пише IZ, посилаючись на Techradar.
Причина полягає в некоректному керуванні привілеями. Уразливий механізм приймає роль користувача, передану в процесі реєстрації, без належної серверної перевірки за дозволеним списком. У результаті зловмисник може підставити значення ролі адміністратора й отримати повний контроль над сайтом без попередньої автентифікації.
Плагін, розроблений WPEverest, використовується для керування реєстрацією користувачів, членством, платіжними інтеграціями та обмеженням доступу до контенту. На сторінці WordPress.org він описаний як інструмент для створення форм реєстрації, логіну, планів підписки та системи membership-доступу.
За оцінкою Wordfence, уразливість має критичний бал 9,8 із 10 за шкалою CVSS 3.1. BleepingComputer також повідомляє, що експлуатація вже фіксувалася в реальних атаках: протягом 24 годин у середовищах клієнтів Wordfence заблокували понад 200 спроб використання цієї помилки.
Після отримання прав адміністратора атакувальник може змінювати вміст сайту, встановлювати плагіни й теми, редагувати PHP-код, змінювати параметри безпеки, викрадати дані користувачів і розміщувати шкідливий код. Такий рівень доступу також дозволяє блокувати легітимних власників ресурсу або створювати додаткові облікові записи для закріплення в системі.
Розробник уже випустив виправлення у версії 5.1.3, а на момент публікації BleepingComputer актуальною називалася вже 5.1.4. Адміністраторам сайтів рекомендують негайно оновити плагін, а якщо це неможливо — тимчасово вимкнути або видалити його. Окремо варто перевірити список користувачів із правами адміністратора та виявити облікові записи, які могли бути створені без відома власника сайту.
Читайте також: iPhone 18 Pro показали у новому бордовому кольорі: з’явилися перші рендери.
По темі
Останні новини
- Прогноз магнітних бур на 17 червня 2026 року: що очікувати протягом дня
- Гороскоп на 17 червня 2026: що зірки підготували для кожного знаку зодіаку
- Їм можна довірити будь-який секрет: які знаки зодіаку найкраще зберігають таємниці
- Як німці утворюють довгі слова: головне правило, яке допоможе нарешті зрозуміти Komposita
- Бактеріальний менінгіт: як розпізнати небезпечне запалення оболонок мозку
- Чим обробити капусту від капустяної мухи: ефективні методи боротьби з личинками
- Прем’єра фільму “Ведмежий капкан” (Bear Country): дата виходу, коли та де дивитись онлайн
- Міноборони пояснило, що буде з військовими, які не підпишуть нові контракти
- Росія атакує Україну новою ракетою «Бандероль»: що про неї відомо, характеристики S8000 і загроза для міст
- Поблизу аеродрому «Бєлая» розбився російський ракетоносець Ту-22М3
- Курс валют на 16 червня 2026: долар без змін, євро та злотий зросли
- Таро-гороскоп на 16 червня 2026: що карти відкривають кожному знаку зодіаку
- Місячний прогноз на 16 червня 2026 року: яка фаза місяця, що не можна робити та що дозволяється
- Яка буде погода в Україні 16 червня 2026: синоптики прогнозують дощі та грози
- У Києві після нічної атаки РФ пошкоджено лінії електропередач: без світла були понад 140 тисяч родин
