Οι χάκερ εκμεταλλεύονται μια κρίσιμη ευπάθεια στο πρόσθετο User Registration & Membership, το οποίο είναι εγκατεστημένο σε περισσότερους από 60.000 ιστότοπους WordPress.
Αναπτύχθηκε από το WPEverest, η προσθήκη παρέχει δυνατότητες διαχείρισης μελών και εγγραφής χρηστών, όπως προσαρμοσμένες φόρμες, ενσωματώσεις πληρωμών με PayPal και Stripe, τραπεζικές μεταφορές και αναλυτικά στοιχεία.
Η ευπάθεια ασφαλείας παρακολουθείται ως CVE-2026-1492 και έλαβε αξιολόγηση κρίσιμης σοβαρότητας 9,8. Επειδή η προσθήκη αποδέχεται έναν ρόλο που παρέχεται από τον χρήστη κατά την εγγραφή μέλους, οι χάκερ μπορούν να δημιουργήσουν λογαριασμούς διαχειριστή χωρίς έλεγχο ταυτότητας.
Ένας λογαριασμός διαχειριστή έχει πλήρη πρόσβαση στον ιστότοπο και απαιτείται η εγκατάσταση προσθηκών και θεμάτων, η επεξεργασία κώδικα PHP, η αλλαγή των ρυθμίσεων ασφαλείας, η τροποποίηση του περιεχομένου του ιστότοπου και ο αποκλεισμός νόμιμων κατόχων ή διαχειριστών.
Ένας εισβολέας με αυτό το επίπεδο πρόσβασης μπορεί να υποκλέψει δεδομένα, όπως τη βάση δεδομένων των εγγεγραμμένων χρηστών, και να ενσωματώσει κακόβουλο κώδικα για τη διανομή κακόβουλου λογισμικού στους επισκέπτες.
Ερευνητές της εταιρείας ασφαλείας WordPress Defiant, που κατασκευάζει το πρόσθετο ασφαλείας Wordfence, μπλόκαρε περισσότερες από 200 προσπάθειες για την εκμετάλλευση του CVE-2026-1492 σε περιβάλλοντα πελατών τις τελευταίες 24 ώρες.
Η ευπάθεια επηρεάζει όλες τις εκδόσεις του User Registration & Membership μέσω της 5.1.2. Ο προγραμματιστής κυκλοφόρησε μια επιδιόρθωση στην έκδοση 5.1.3 της προσθήκης. Συνιστάται στους διαχειριστές του ιστότοπου να ενημερώσουν στην πιο πρόσφατη έκδοση της προσθήκης, η οποία είναι επί του παρόντος η 5.1.4, η οποία κυκλοφόρησε την περασμένη εβδομάδα.
Εάν η ενημέρωση δεν είναι δυνατή, συνιστάται να απενεργοποιήσετε ή να απεγκαταστήσετε προσωρινά την προσθήκη.
Σύμφωνα με τα δεδομένα του Wordfence, το CVE-2026-1492 είναι η πιο σοβαρή ευπάθεια στην προσθήκη Εγγραφή χρήστη και ιδιότητα μέλους που αποκαλύφθηκε φέτος.
Οι χάκερ στοχεύουν συνεχώς ιστότοπους WordPress για κακόβουλες δραστηριότητες που περιλαμβάνουν διανομή κακόβουλου λογισμικού, ηλεκτρονικό ψάρεμα, φιλοξενία διακομιστών εντολών και ελέγχου, κακόβουλη επισκεψιμότητα μέσω διακομιστή ή αποθήκευση κλεμμένων δεδομένων.
Τον Ιανουάριο του 2026, οι χάκερ άρχισαν να εκμεταλλεύονται ένα ελάττωμα μέγιστης σοβαρότητας (CVE-2026-23550) στην προσθήκη Modular DS WordPress, επιτρέποντάς τους να παρακάμπτουν τον έλεγχο ταυτότητας εξ αποστάσεως και να έχουν πρόσβαση σε ευάλωτους ιστότοπους με προνόμια σε επίπεδο διαχειριστή.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
