Обнаружена критическая уязвимость в плагине WordPress «User Registration & Membership», которая может привести к полному захвату сайтов. Исследователи безопасности из Defiant выявили, что плагин некорректно обрабатывает роли пользователей, предоставляемые ими при регистрации, что позволяет злоумышленникам без аутентификации создавать администраторские аккаунты.
Уязвимость, получившая обозначение CVE-2026-1492 и оценку критичности 9.8/10, затрагивает все версии плагина до 5.1.2 включительно. Проблема устранена в версии 5.1.3.
По данным исследователей, за 24 часа было зафиксировано более 200 попыток эксплуатации данной уязвимости, что свидетельствует об активном интересе злоумышленников. Плагин «User Registration & Membership» установлен на более чем 60 000 активных сайтов WordPress, при этом значительная часть из них (62.7%) использует устаревшие версии (4.4 и ниже), что делает около 37 000 сайтов уязвимыми.
Захват администраторского аккаунта может позволить злоумышленникам красть конфиденциальные данные, размещать вредоносное ПО, перенаправлять трафик на мошеннические ресурсы и собирать учетные данные пользователей.
