Hackers estão explorando uma vulnerabilidade crítica no plugin User Registration & Membership, instalado em mais de 60 mil sites WordPress.
Desenvolvido pela WPEverest, o plugin oferece recursos para gerenciamento de membros e registro de usuários, incluindo formulários customizáveis, integrações de pagamento via PayPal e Stripe, transferências bancárias e ferramentas de análise.
A falha de segurança, identificada como
CVE-2026-1492
, recebeu uma classificação de gravidade crítica 9,8.
O problema ocorre porque o plugin permite, durante o registro, que o usuário defina sua própria role (papel).
Isso possibilita que invasores criem contas de administrador sem necessidade de autenticação.
Uma conta de administrador tem controle total sobre o site, podendo instalar plugins e temas, editar códigos PHP, alterar configurações de segurança, modificar conteúdos e até bloquear o acesso de proprietários legítimos ou outros administradores.
Com esse nível de acesso, o invasor pode roubar dados sensíveis, como o banco de dados de usuários registrados, além de inserir códigos maliciosos para distribuir malware aos visitantes.
Pesquisadores da Defiant, empresa responsável pelo plugin de segurança Wordfence, detectaram e bloquearam mais de 200 tentativas de exploração dessa vulnerabilidade em ambientes de clientes nas últimas 24 horas.
A falha afeta todas as versões do User Registration & Membership até a 5.1.2.
A correção foi disponibilizada na versão 5.1.3, mas recomenda-se a atualização imediata para a versão mais recente, 5.1.4, lançada na semana passada.
Caso a atualização não seja viável, a orientação é desabilitar ou desinstalar temporariamente o plugin.
De acordo com dados da Wordfence, a
CVE-2026-1492
é a vulnerabilidade mais grave descoberta neste ano no User Registration & Membership.
Hackers têm como alvo constante sites WordPress para realizar atividades maliciosas, como distribuição de malware, ataques de phishing, hospedagem de servidores de comando e controle, proxy de tráfego malicioso e armazenamento de dados roubados.
Em janeiro de 2026, outra falha crítica,
CVE-2026-23550
, foi explorada no plugin Modular DS, permitindo que invasores contornassem a autenticação remotamente e obtivessem privilégios administrativos em sites vulneráveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...