WordPress membership plugin bug exploited to create admin accounts
Mis à jour :
Exploitation critique du plugin WordPress “User Registration & Membership”
Une faille de sécurité majeure est actuellement exploitée activement sur plus de 60 000 sites WordPress utilisant le plugin User Registration & Membership de WPEverest. Cette vulnérabilité permet à des attaquants non authentifiés de créer des comptes administrateurs, leur offrant un contrôle total sur les sites compromis.
Points clés :
- Nature de l’attaque : Escalade de privilèges non authentifiée via le formulaire d’inscription du plugin.
- Risques : Prise de contrôle totale du site (installation de logiciels malveillants, modification du code PHP, vol de données d’utilisateurs, verrouillage des administrateurs légitimes).
- Activité : Plus de 200 tentatives d’exploitation bloquées en seulement 24 heures par les équipes de sécurité.
Vulnérabilité :
- CVE-2026-1492 : Score de criticité de 9.8/10. Concerne toutes les versions jusqu’à la 5.1.2 incluse.
Recommandations :
- Mise à jour immédiate : Passer impérativement à la version 5.1.4 (ou supérieure) du plugin.
- Mesure d’urgence : Si la mise à jour n’est pas réalisable dans l’immédiat, désactiver ou désinstaller complètement le plugin pour prévenir toute intrusion.