- Uma falha crítica foi descoberta no plugin do WordPress que permite que invasores registrem contas administrativas sem autenticação
- Mais de 37.000 sites estão atualmente visíveis
Milhares de sites WordPress estão vulneráveis ao controle total do site graças a uma vulnerabilidade crítica recém-descoberta em um plug-in popular.
Pesquisadores de segurança da Defiant relataram ter encontrado uma falha no registro e associação de usuários, um plugin do WordPress que ajuda os administradores a criar planos de assinatura, controlar o acesso do usuário e aceitar pagamentos. O bug é causado pelo plug-in que aceita funções fornecidas pelo usuário no registro de membros sem definir corretamente a lista do servidor.
Como resultado, invasores não autenticados podem criar contas administrativas fornecendo um valor de função no registro.
Abuso ativo
A falha é descrita como “manipulação inadequada de privilégios” e agora é rastreada como CVE-2026-1492. Possui uma pontuação de gravidade de 9,8/10 (crítica) e afeta todas as versões do plugin, incluindo 5.1.2. Isso foi corrigido na versão 5.1.3 que já está disponível para download.
Os pesquisadores disseram ter visto mais de 200 tentativas de explorar a vulnerabilidade em apenas 24 horas, sugerindo que os cibercriminosos estão bem cientes da falha e estão procurando ativamente por sites expostos.
A superfície de ataque também é bastante grande, pois de acordo com o repositório oficial do WordPress, o User Registration and Membership está instalado em mais de 60.000 sites ativos, e a grande maioria (62,7%) está executando versões 4.4 e anteriores.
Isso significa que pelo menos 37.000 sites estão atualmente vulneráveis à falha inadequada de gerenciamento de privilégios.
Para piorar a situação, a página do plugin não faz distinção entre as versões 5.1.2 e 5.1.3, então o número real de sites vulneráveis provavelmente será ainda maior.
Com uma conta de administrador, os agentes de ameaças podem causar todo tipo de estrago, desde a infiltração de dados confidenciais até o uso do site como host de malware. Eles também podem redirecionar o tráfego legítimo para sites maliciosos que exibem anúncios, enganam os usuários para que compartilhem credenciais de login e muito mais.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
