Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери ја злоупотребуваат грешка во WordPress membership plugin за создавање администраторски сметки

Објавено: 06.03.2026

Хакери активно искористуваат критична ранливост во plugin-от User Registration & Membership, кој е инсталиран на повеќе од 60.000 веб-страници на WordPress.

Plugin-от е развиен од WPEverest и нуди функции за менаџирање на членства и регистрација на корисници, вклучувајќи прилагодени форми, интеграции за плаќање со PayPal и Stripe, банкарски трансфери и аналитика.

Безбедносната ранливост е означена како CVE-2026-1492 и има критична оценка 9.8. Бидејќи plugin-от дозволува корисникот сам да избере улога при регистрација, напаѓачите можат без автентикација да креираат администраторски сметки.

Администраторската сметка има целосна контрола над веб-страницата и може да:

  • инсталира plugins и теми
  • уредува PHP код
  • менува безбедносни поставки
  • модифицира содржина на страницата
  • ги блокира вистинските сопственици или администратори

Со ваков пристап, напаѓач може да украде податоци, како на пример база со регистрирани корисници, и да вметне злонамерен код за ширење malware кај посетителите.

Истражувачите од компанијата Defiant, креатор на безбедносниот plugin Wordfence, блокирале повеќе од 200 обиди за експлоатација на оваа ранливост во клиентски средини во последните 24 часа.

Ранливоста ги погодува сите верзии на User Registration & Membership до 5.1.2. Развивачите ја поправиле во верзија 5.1.3, а администраторите се советуваат да ажурираат на најновата верзија 5.1.4, објавена минатата недела.

Ако ажурирањето не е можно, се препорачува привремено да се оневозможи или деинсталира plugin-от.

Според податоците на Wordfence, CVE-2026-1492 е најсериозната ранливост во овој plugin објавена оваа година.

Хакерите постојано таргетираат WordPress сајтови за злонамерни активности како:

  • ширење malware
  • фишинг
  • хостирање command-and-control сервери
  • проксирање злонамерен интернет сообраќај
  • складирање украдени податоци

Во јануари 2026, хакери почнаа да искористуваат и друга критична ранливост – CVE-2026-23550 во plugin-от Modular DS WordPress plugin, што им овозможува далечинско заобиколување на автентикацијата и пристап до сајтови со администраторски привилегии. 🔐

Извори:

  • Bleeping Computer – WordPress membership plugin bug exploited to create admin accounts Bleeping Computer