Nieuws
image

Duizenden WordPress-sites bevatten misbruikt lek dat aanvaller admin maakt

vrijdag 6 maart 2026, 13:49 door Redactie, 2 reacties

Duizenden WordPress-sites bevatten een kwetsbaarheid die op het moment actief wordt misbruikt bij aanvallen en ongeauthenticeerde aanvallers administrator maakt. Zodoende kunnen aanvallers de website volledig overnemen. Hoewel een beveiligingsupdate sinds 24 februari beschikbaar is hebben duizenden WordPress-sites die nog niet geinstalleerd. De kwetsbaarheid is aanwezig in een plug-in genaamd 'User Registration & Membership'.

De plug-in biedt WordPress-sites de mogelijkheid om eenvoudig een abonnementsmodel voor gebruikers in te voeren, inclusief registratieformulieren en ingebouwd betalingssysteem. Meer dan 60.000 websites hebben de plug-in geïnstalleerd. Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller bij de registratie als gebruiker kan opgeven dat hij zich eigenlijk als administrator wil registreren.

De impact van het probleem (CVE-2026-1492) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 24 februari verscheen versie 5.1.3 waarin het probleem is verholpen. Uit cijfers van WordPress.org blijkt dat tienduizenden websites de update nog niet hebben geïnstalleerd en zo risico lopen. Volgens securitybedrijf Wordfence maken aanvallers namelijk actief misbruik van het probleem.

Reacties (2)
Reageer met quote
Gisteren, 15:55 door Anoniem
Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller bij de registratie als gebruiker kan opgeven dat hij zich eigenlijk als administrator wil registreren.
Hallo he deze plugin is wel heel slecht getest! en waarom er niet gepatcht wordt is natuurlijk ook heel slecht. Eigen schuld.
Reageer met quote
Gisteren, 17:27 door Anoniem
Door Anoniem:
Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller bij de registratie als gebruiker kan opgeven dat hij zich eigenlijk als administrator wil registreren.
Hallo he deze plugin is wel heel slecht getest! en waarom er niet gepatcht wordt is natuurlijk ook heel slecht. Eigen schuld.
Inderdaad. Gezien het doel van deze plug-in is die toch bestemd voor zakelijke toepassingen. Als je dan als bedrijf je Wordpress site en onderhoud-update niet op orde hebt moet je je schamen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components