Hackers misbruiken actief een kritieke kwetsbaarheid in de User Registration & Membership-plugin van WPEverest, die op meer dan 60.000 WordPress-sites is geïnstalleerd. Via CVE-2026-1492 kunnen aanvallers zonder authenticatie een beheerdersaccount aanmaken.
De plugin biedt features voor het beheren van gebruikersregistraties en lidmaatschappen. Zo zijn er functies voor het integreren met betaalsystemen PayPal en Stripe, bankoverboekingen en op maat gemaakte formulieren.
De kwetsbaarheid zit in hoe de plugin omgaat met gebruikersrollen tijdens registratie. Omdat de plugin een door de gebruiker opgegeven rol accepteert, kunnen hackers zichzelf bij het aanmaken van een account direct aanwijzen als beheerder. Authenticatie is daarvoor niet nodig.
Een beheerderaccount geeft volledige toegang tot de website. Denk aan het installeren van plugins en thema’s, het aanpassen van PHP-code, het wijzigen van securityinstellingen en het buitensluiten van legitieme eigenaren. Aanvallers met die rechten kunnen ook gebruikersdata stelen of kwaadaardige code injecteren om malware te verspreiden onder bezoekers.
Actief misbruik, Wordfence blokkeert aanvallen
Securityonderzoekers van Defiant, het bedrijf achter de Wordfence-plugin, blokkeerden in de afgelopen meer dan 200 pogingen om CVE-2026-1492 te misbruiken bij klanten. Wordfence bestempelt dit als de zwaarste kwetsbaarheid in de User Registration & Membership-plugin die dit jaar is bekendgemaakt.
De kwetsbaarheid treft alle versies van User Registration & Membership tot en met 5.1.2. WPEverest bracht begin deze maand een fix uit in versie 5.1.3. Vorige week verscheen versie 5.1.4, die nu de aanbevolen versie is voor alle gebruikers. Als updaten tijdelijk niet mogelijk is, adviseert Defiant de plugin te deactiveren of te verwijderen.
WordPress-plugins zijn een vaste aanvalsvector. Volgens het 2026 WordPress Security Report van Patchstack zijn plugins verantwoordelijk voor 91 procent van alle WordPress-kwetsbaarheden. Het aantal sterk uitbuitbare lekken steeg daarbij met 113 procent ten opzichte van een jaar eerder.