Purtroppo ci troviamo costretti a tornare di nuovo a parlare di vulnerabilità presenti su CMS e soprattutto sui sistemi di WordPress, sui quali viene sviluppata la schiacciante maggioranza dei siti web di tutto il mondo ma che come sappiamo non sono scevri da problematiche di sicurezza, questi più che altro dovuti a falle presenti su strumenti come i plugin, che tuttavia vengono creati da aziende e case di produzione esterne a WordPress stesso.
Nel caso di oggi parliamo di una vulnerabilità presente sul plugin User Registration & Membership, uno strumento gratuito che come si può evincere dal nome consente a chi lo utilizza di inserire maschere di registrazione ed accesso al proprio sito. La vulnerabilità in oggetto, ovvero la CVE-2026-1492 consiste nella possibilità per gli hacker di creare utenti amministratore senza alcun problema, e ciò come sappiamo può portare ad una serie di problematiche molto gravi, come l’installazione di plugin malevoli, redirect su pagine non sicure, modifiche al sito, modifiche al codice PHP, cancellazione degli amministratori veri e quindi perdita totale del possesso del sito. La vulnerabilità è stata riscontrata e pubblicata nei registri ufficiali appena tre giorni fa con un punteggio di gravità molto alto, ovvero 9.8 su 10 e siccome tra le tante possibilità date dal plugin c’è anche quella di inserire form di pagamento, è evidente come la perdita del sito costituisca un problema di grossissime proporzioni.
Il plugin è utilizzato da 60.000 utenti in tutto il mondo, che adesso hanno per le mani una falla che sta già portando ai primissimi attacchi visto che viene riportato anche il blocco di più di 200 tentativi di exploit della falla avvenuti tra il 4 ed il 6 marzo. La vulnerabilità riguarda tutte le versioni di User Registration & Membership fino alla 5.1.2 (compresa), ma WPEverest, produttrice del plugin, ha già rilasciato la versione 5.1.3 contenente la patch di sicurezza, superata da pochi giorni dalla 5.1.4, quindi è importante che tutti coloro che hanno installato sul loro sito web questo plugin provvedano immediatamente all’installazione. Se tuttavia non è possibile provvedere all’aggiornamento si può comunque provvedere alla disattivazione o direttamente alla disinstallazione dello stesso.
Come sappiamo e come sottolineiamo sempre negli approfondimenti sulle vulnerabilità WordPress, è assai frequente che gli hacker provino a sfruttare tutte le svariate falle delle quali cerchiamo di dare puntuale notizia anche su questo blog, perché ciò da modo di iniziare catene di distribuzione di malware o di dare luogo a phishing ed altri tipi di offensive, banalmente sfruttando siti e caselle già violati. Oltretutto, questi aggiornamenti servono proprio a fare arrivare il più lontano possibile le notizie in merito ai plugin vulnerabili, poiché una volta che la falla diventa nota è chiaro che proprio da quel momento gli attaccanti proveranno a sfruttarle, cosa che è successa nei primi giorni del 2026 anche per altri plugin di WordPress, come Modular DS, cosa che ha portato alla perdita dei privilegi di amministratore ai proprietari dei siti che lo utilizzavano e non avevano provveduto all’aggiornamento dello strumento.
Fonte: 1
