Se ha descubierto una vulnerabilidad de severidad crítica en el plugin User Registration & Membership para WordPress. Un actor malicioso no autenticado podría crear cuentas con privilegios de administrador, obteniendo el control total del sitio web afectado.
Productos afectados
- User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin, en todas las versiones hasta la 5.1.2.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-1492: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de gestión incorrecta de privilegios. Debido a que el plugin acepta un rol proporcionado por el usuario durante el proceso de registro de membresía sin aplicar correctamente una lista de permitidos en el servidor, un actor malicioso remoto no autenticado podría crear cuentas de administrador mediante el envío de un valor de rol manipulado durante el registro.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias