Uma vulnerabilidade crítica no plugin User Registration & Membership, desenvolvido pela WPEverest e instalado em mais de 60.000 sites WordPress, está sendo explorada por hackers. A falha, identificada como CVE-2026-1492, possui uma gravidade de 9.8, permitindo que atacantes criem contas de administrador sem autenticação, o que lhes confere acesso total ao site. Isso possibilita o roubo de dados, como informações de usuários registrados, e a inserção de códigos maliciosos para disseminar malware. A empresa de segurança WordPress Defiant bloqueou mais de 200 tentativas de exploração dessa vulnerabilidade em apenas 24 horas. A falha afeta todas as versões do plugin até a 5.1.2, e a correção foi disponibilizada na versão 5.1.3. Administradores de sites são aconselhados a atualizar para a versão mais recente, 5.1.4, ou desativar temporariamente o plugin se a atualização não for viável. A exploração de vulnerabilidades em plugins do WordPress é uma prática comum entre hackers, visando atividades maliciosas como distribuição de malware e phishing.
Fonte: https://www.bleepingcomputer.com/news/security/wordpress-membership-plugin-bug-exploited-to-create-admin-accounts/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
05/03/2026 • Risco: CRITICO
VULNERABILIDADE
Vulnerabilidade crítica em plugin do WordPress afeta 60 mil sites
RESUMO EXECUTIVO
A vulnerabilidade CVE-2026-1492 no plugin User Registration & Membership do WordPress permite que hackers criem contas de administrador sem autenticação, comprometendo a segurança de mais de 60.000 sites. A correção já está disponível, e a falta de ação pode resultar em sérios danos financeiros e de reputação, além de implicações legais sob a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados a vazamentos de dados e recuperação de sistemas.
Operacional
Roubo de dados e inserção de malware em sites comprometidos.
Setores vulneráveis
['Setores que utilizam WordPress para gestão de conteúdo e e-commerce.']
📊 INDICADORES CHAVE
Mais de 60.000 sites WordPress afetados.
Indicador
Gravidade da vulnerabilidade: 9.8.
Contexto BR
Mais de 200 tentativas de exploração bloqueadas em 24 horas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a versão do plugin User Registration & Membership instalada.
2
Atualizar para a versão 5.1.4 ou desativar o plugin temporariamente.
3
Monitorar tentativas de acesso não autorizado e atividades suspeitas no site.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de plugins amplamente utilizados, pois a exploração pode levar a sérios compromissos de dados e reputação.
⚖️ COMPLIANCE
Implicações na LGPD devido ao risco de vazamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
