60.000 website WordPress có thể bị chiếm quyền vì lỗ hổng CVE-2026-1492

[WhiteHat Team]

Một lỗ hổng nghiêm trọng vừa được phát hiện trong plugin User Registration & Membership cho WordPress, công cụ đang được hơn 60.000 website sử dụng để quản lý tài khoản thành viên và gói thuê bao. Lỗ hổng được định danh CVE-2026-1492 với điểm CVSS 9.8, cho phép kẻ tấn công tạo tài khoản quản trị mà không cần xác thực.
​

Điểm cốt lõi khiến CVE-2026-1492 trở nên nguy hiểm nằm ở cơ chế kiểm soát vai trò người dùng trong quá trình đăng ký. Ở các phiên bản đến và bao gồm 5.1.2, plugin không kiểm tra danh sách role hợp lệ ở phía máy chủ. Thay vì tự động gán vai trò mặc định như Subscriber, hệ thống lại chấp nhận trực tiếp giá trị role được gửi trong dữ liệu đăng ký.

Chính sai sót này mở đường cho leo thang đặc quyền. Tin tặc chỉ cần chỉnh sửa request đăng ký và thay role thành administrator. Máy chủ sẽ tạo tài khoản với quyền quản trị mà không có bước xác minh bổ sung. Toàn bộ quá trình diễn ra ngay ở bước đăng ký nên không yêu cầu tài khoản có sẵn.

Khi khai thác thành công CVE-2026-1492, kẻ tấn công có toàn quyền kiểm soát website. Họ có thể truy cập dữ liệu người dùng và thông tin thanh toán. Nội dung có thể bị chỉnh sửa hoặc xóa. Backdoor có thể được cài đặt để duy trì quyền truy cập lâu dài. Website cũng có thể bị lợi dụng để phát tán mã độc hoặc thực hiện các chiến dịch tấn công tiếp theo.

Với hơn 60.000 website đang sử dụng plugin này, phạm vi ảnh hưởng của lỗ hổng là rất lớn. Nếu không được vá kịp thời, nó có thể bị khai thác đồng loạt trên nhiều hệ thống. Tin tặc chỉ cần rà quét các website chưa cập nhật để chiếm quyền quản trị. Những nền tảng membership có tích hợp thanh toán và lưu trữ dữ liệu khách hàng sẽ đối mặt rủi ro cao hơn vì chứa nhiều thông tin giá trị.

Nhà phát triển đã phát hành bản vá trong phiên bản 5.1.3 nhằm khắc phục lỗi kiểm soát quyền ở phía máy chủ. Quản trị viên WordPress nên kiểm tra và cập nhật plugin sớm nhất có thể để giảm thiểu nguy cơ bị chiếm quyền.​

Theo Cyber Security News​