夜雨聆风
【安全圈】WordPress 会员插件漏洞遭利用,攻击者可创建管理员账户
关键词
漏洞
黑客正在利用 User Registration & Membership 插件中的高危漏洞,该插件在超过 6 万个 WordPress 网站上安装使用。
该插件由 WPEverest 开发,提供会员与用户注册管理功能,包括自定义表单、PayPal/Stripe 支付集成、银行转账及数据分析。
该漏洞编号为 CVE-2026-1492,CVSS 评分 9.8 分(高危)。由于插件在注册时允许用户指定角色,黑客可未授权创建管理员账户。
管理员账户拥有网站完全权限,可安装插件 / 主题、编辑 PHP、修改安全配置、篡改内容,甚至锁定合法管理员。
获得该权限的攻击者可窃取用户数据库等数据,并植入恶意代码向访客分发恶意程序。
WordPress 安全公司 Defiant(Wordfence 开发商)在过去 24 小时内,在客户环境中拦截了超过 200 次针对该漏洞的利用尝试。
漏洞影响 5.1.2 及以下所有版本。开发者已在 5.1.3 版本中发布修复。建议网站管理员更新至最新版本 5.1.4(上周发布)。
若无法更新,建议暂时禁用或卸载插件。
据 Wordfence 数据,CVE-2026-1492 是该插件今年披露的最严重漏洞。
黑客持续针对 WordPress 网站,用于恶意活动:分发恶意软件、钓鱼、搭建 C2、代理流量或存储被盗数据。
2026 年 1 月,黑客开始利用 Modular DS 插件的最高危漏洞 CVE-2026-23550,可远程绕过认证并以管理员权限访问受影响网站。
END
阅读推荐
【安全圈】Wi-Fi 爆出史上最大安全漏洞!所有路由器无一幸免:HTTPS 加密也没用
【安全圈】报告称微软必应搜索被污染,错误推荐恶意 OpenClaw AI 项目
【安全圈】安全公司警告黑客利用山寨 ZOOM 网站钓鱼,散布远程监控软件
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
