Уязвимость в WordPress-плагине даёт взломщикам доступ администратора

Критическая уязвимость в WordPress-плагине User Registration & Membership даёт атакующим шанс захватить сайт, просто зарегистрировав аккаунт с ролью администратора. Проблема уже в активной эксплуатации, а под риском — как минимум 37 000 установок.

Баг нашли исследователи из Defiant. По их данным, плагин при регистрации участника принимает роль пользователя из данных, которые прислал клиент, и не проверяет её по строгому серверному списку разрешённых ролей. В итоге злоумышленнику достаточно подставить нужное значение role, и он получает учётку с правами админа без авторизации.

Что именно сломалось в User Registration & Membership

Уязвимость классифицируют как некорректное управление привилегиями. Она проходит как CVE-2026-1492 с оценкой 9.8/10 (critical) и затрагивает все версии до 5.1.2 включительно.

Сценарий неприятный и прямой. Регистрация в membership-плагинах часто открыта наружу. И если роль берётся из пользовательского ввода, сайт фактически сам выдаёт ключи от админки.

Исправление уже есть: разработчики закрыли дыру в версии 5.1.3, она доступна для обновления.

Масштаб: десятки тысяч сайтов и уже сотни попыток взлома

Площадка для атаки широкая: в каталоге WordPress плагин установлен более чем на 60 000 активных сайтов. При этом 62,7% установок сидят на версиях 4.4 и старше, и это сильно повышает шанс, что обновления там откладывают месяцами.

По оценке исследователей, минимум 37 000 сайтов сейчас остаются уязвимыми. Реальная цифра может быть выше, потому что страница плагина не помогает быстро отличить 5.1.2 от 5.1.3, и часть администраторов может ошибочно считать, что уже в безопасности.

Отдельный тревожный сигнал — эксплуатация уже идёт. За 24 часа исследователи зафиксировали более 200 попыток атаковать уязвимость. Это обычно значит, что эксплойт быстро разошёлся по сканерам и ботнетам.

Чем грозит захват админки WordPress

Администратор в WordPress — это полный контроль над сайтом. Дальше вариантов много, и все неприятные:

• Кража данных: выгрузка пользовательских баз и содержимого панели управления.
• Раздача малвари: подмена файлов и внедрение вредоносных скриптов.
• Редиректы: отправка трафика на фишинговые страницы и рекламные помойки.
• Фишинг: попытки выманить логины и пароли у посетителей через подменённые формы.

Технически это тот случай, когда один плагин ломает всю модель безопасности сайта. И чем больше на сайте платёжных сценариев и личных кабинетов, тем выше цена ошибки.

Уязвимость CVE-2026-1492 закрыли в User Registration & Membership 5.1.3, а все версии до 5.1.2 включительно остаются под риском.