Eine kritische Schwachstelle im User Registration & Membership-Plugin gefährdet über 60.000 WordPress-Seiten. Angreifer können damit Admin-Konten erstellen und vollständigen Zugriff auf Websites erlangen.
Ein ernsthaftes Sicherheitsrisiko bedroht tausende WordPress-Installationen: Das User Registration & Membership-Plugin des Entwicklers WPEverest weist eine kritische Schwachstelle auf, die es Angreifern ermöglicht, Administrator-Konten ohne jegliche Authentifizierung anzulegen.
Das Plugin, das auf über 60.000 Websites zum Einsatz kommt, bietet umfangreiche Funktionen für Mitgliederverwaltung und Benutzerregistrierung. Es integriert sich mit Zahlungsdienstleistern wie PayPal und Stripe, unterstützt Banküberweisung und liefert detaillierte Analysen. Die unter CVE-2026-1492 katalogisierte Lücke erhielt die Höchstkennzeichnung mit einem CVSS-Score von 9,8 – es ist ein kritischer Fehler.
Das Problem liegt in einer unzureichenden Validierung: Bei der Registrierung neuer Mitglieder akzeptiert das System benutzerdefinierte Rollenangaben, ohne diese zu verifizieren. Dies ermöglicht es Angreifern, sich selbst als Administrator einzutragen und damit vollständigen Kontrolle über die Website zu übernehmen. Mit Admin-Rechten können Cyberkriminelle Plugins installieren, Sicherheitseinstellungen ändern, Inhalte manipulieren und legitime Administratoren aussperren.
Die Folgen sind verheerend: Angreifer können Benutzerdatenbanken abfischen, Malware in den Website-Code einschleusen und damit Besucher infizieren oder die Website als Befehlszentrale für Botnetze missbrauchen.
Das Sicherheitsunternehmen Defiant, das das verbreitete Wordfence-Plugin entwickelt, registrierte in den letzten 24 Stunden über 200 Exploitierungsversuche dieser Lücke. WPEverest reagierte prompt und veröffentlichte einen Patch mit Version 5.1.3. Aktuelle Version ist nun 5.1.4 (vergangene Woche freigegeben).
Website-Betreiber sollten dringend auf die neueste Version aktualisieren. Sollte dies nicht möglich sein, wird empfohlen, das Plugin vorübergehend zu deaktivieren oder zu entfernen.
Dies ist nicht das erste Mal, dass WordPress-Plugins als Angriffsziel missbraucht werden. Im Januar 2026 exploitierten Hacker eine kritische Authentifizierungslücke (CVE-2026-23550) im Modular DS-Plugin. WordPress-Websites sind generell lukrative Ziele für verschiedenste Angriffsszenarien: Malware-Verbreitung, Phishing-Kampagnen, Hosting von Command-and-Control-Infrastrukturen oder Datenspeicherung.
Quelle: BleepingComputer