Duizenden WordPress-sites bevatten misbruikt lek dat aanvaller admin maakt

In dit artikel:

Een kwetsbaarheid in de WordPress-plug-in "User Registration & Membership" stelt ongeauthenticeerde aanvallers in staat zichzelf als administrator aan te maken, waardoor volledige overname van sites mogelijk is. De plug-in, met meer dan 60.000 installaties, bevat een fout in het registratieproces waardoor een aanvaller een beheerdersrol kan afdwingen. De fout is gemeld als CVE-2026-1492 met een ernstscore van 9,8; een patch (versie 5.1.3) verscheen op 24 februari. Volgens Wordfence wordt de zwakke plek al actief misbruikt en tonen WordPress.org-cijfers dat tienduizenden sites de update nog niet hebben toegepast. Website-eigenaren moeten direct updaten naar 5.1.3, verdachte gebruikersaccounts verwijderen, back-ups en logs controleren en hun site scannen op ongeautoriseerde wijzigingen.