Piratas informáticos estão a explorar ativamente uma falha crítica no plugin User Registration & Membership, uma ferramenta popular instalada em mais de 60 mil sites baseados em WordPress.
Um risco máximo para os administradores
Desenvolvido pela WPEverest, este plugin facilita a gestão de membros e inscrições, oferecendo formulários personalizados e integrações de pagamento com plataformas como o PayPal e Stripe. No entanto, uma nova vulnerabilidade de segurança, identificada como CVE-2026-1492, recebeu a pontuação máxima de severidade de 9.8.
A falha ocorre porque a extensão aceita que o utilizador defina o seu próprio nível de privilégios durante o processo de registo. Isto significa que qualquer atacante pode criar uma conta de administrador sem necessitar de qualquer autenticação prévia.
Com acesso de administrador, os cibercriminosos ganham controlo absoluto sobre a plataforma. Podem instalar temas adulterados, editar o código PHP, alterar configurações de segurança, roubar bases de dados de clientes e até bloquear o acesso aos verdadeiros donos do site. Além disso, é comum utilizarem este nível de acesso para injetar código malicioso que distribui malware aos visitantes.
Ataques em curso e a necessidade de atualização urgente
A empresa de segurança Defiant, criadora do Wordfence, revelou que bloqueou mais de 200 tentativas de exploração desta falha em ambientes de clientes num espaço de apenas 24 horas. De acordo com a plataforma, esta é a vulnerabilidade mais grave descoberta nesta ferramenta de registos este ano.
O problema afeta todas as versões do User Registration & Membership até à versão 5.1.2. Os programadores já lançaram uma correção na versão 5.1.3, sendo que a recomendação passa por atualizar imediatamente para a versão mais recente, que é atualmente a 5.1.4, lançada na semana passada. Se não for possível aplicar a atualização de imediato, o conselho é desativar ou desinstalar a extensão temporariamente, segundo os dados partilhados pelo Wordfence.
Este incidente não é caso único. As páginas da web são alvos frequentes para a distribuição de ameaças, alojamento de servidores de comando e controlo ou armazenamento de dados roubados. Ainda em janeiro de 2026, uma falha com severidade máxima no plugin Modular DS também permitiu contornar autenticações e garantir privilégios de administrador de forma remota.
Nenhum comentário
Seja o primeiro!