WordPress - CVE-2026-1492

Date de publication :

Il s'agit d'une vulnérabilité dans le mécanisme d'inscription du plugin User Registration & Membership. 

User Registration & Membership est une extension WordPress de gestion des inscriptions, des profils utilisateurs, des adhésions, des restrictions de contenu et des paiements, notamment via Stripe, PayPal et virement bancaire.

Lors de la création d'un compte, le plugin accepte un rôle fourni par l'utilisateur et ne vérifie pas correctement côté serveur que ce rôle fait partie des valeurs autorisées. 

Un attaquant peut alors modifier la requête d'inscription pour y injecter le rôle administrator.

CVE-2026-1492

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Élévation de privilèges

Exploitation

La vulnérabilité exploitée est du type
CWE-269 : Improper Privilege Management

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Contournement provisoire

Si la mise à jour n’est pas possible, il est recommandé de désactiver ou de désinstaller temporairement le plugin.

Solutions ou recommandations

•   La version 5.1.4 est également disponible et correspond à la dernière version indiquée.
•   User Registration & Membership versions 5.1.3 et supérieures. 

Liens