Die Schwachstelle entsteht laut Quelltext dadurch, dass das Plugin während der Mitgliedschaftsregistrierung eine vom Nutzer mitgelieferte Rolle übernimmt. Dadurch lässt sich ein Administratorkonto anlegen, ohne dass eine Anmeldung erforderlich ist. CVE-2026-1492 erhielt den kritischen Schweregrad 9.8.

Ein Administratorzugang bedeutet vollen Zugriff auf die betroffene Seite. Er ist erforderlich, um Plugins und Themes zu installieren, PHP-Code zu bearbeiten, Sicherheitseinstellungen zu verändern, Inhalte zu ändern und legitime Eigentümer oder Administratoren auszusperren. Mit dieser Berechtigung kann ein Angreifer Daten stehlen, etwa die Datenbank der registrierten Nutzer, und Schadcode einbetten, um Besucher mit Malware zu infizieren.

Forscher der Sicherheitsfirma Defiant, die das Wordfence-Plugin herausgibt, registrierten nach eigenen Angaben in den vergangenen 24 Stunden mehr als 200 Versuche, CVE-2026-1492 in Kundenumgebungen auszunutzen. Den Daten von Wordfence zufolge handelt es sich um die schwerwiegendste Schwachstelle, die in diesem Jahr für das Plugin User Registration & Membership offengelegt wurde.

Betroffen sind alle Versionen des Plugins bis einschließlich 5.1.2. Der Entwickler WPEverest stellte mit Version 5.1.3 eine Korrektur bereit. Aktuell ist die kürzlich veröffentlichte Version 5.1.4, auf die Administratoren aktualisieren sollten. Ist ein Update nicht möglich, wird empfohlen, das Plugin vorübergehend zu deaktivieren oder zu deinstallieren.

WordPress-Seiten geraten regelmäßig ins Visier von Angreifern, die sie unter anderem zur Verteilung von Malware, für Phishing, als Command-and-Control-Server, zum Weiterleiten von schädlichem Datenverkehr oder zur Ablage gestohlener Daten nutzen. So begannen Angreifer im Januar 2026, eine Schwachstelle mit maximalem Schweregrad (CVE-2026-23550) im WordPress-Plugin Modular DS auszunutzen, mit der sich die Authentifizierung aus der Ferne umgehen und ein Zugriff mit Administratorrechten erlangen ließ.