文章总结： WordPress插件UserRegistration&Membership存在高危漏洞CVE-2026-1492，CVSS评分9.8。黑客正利用该漏洞未授权创建管理员账户，控制超过6万个网站。受影响版本为5.1.2及以下，开发者已发布5.1.3修复。建议管理员立即更新至最新版本5.1.4或暂时禁用插件，以防数据窃取与恶意代码植入。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,WEB安全

【安全圈】WordPress 会员插件漏洞遭利用，攻击者可创建管理员账户

安全圈

2026年3月7日 19:01 江苏

关键词

漏洞

黑客正在利用 User Registration & Membership 插件中的高危漏洞，该插件在超过 6 万个 WordPress 网站上安装使用。

该插件由 WPEverest 开发，提供会员与用户注册管理功能，包括自定义表单、PayPal/Stripe 支付集成、银行转账及数据分析。

该漏洞编号为 CVE-2026-1492，CVSS 评分 9.8 分（高危）。由于插件在注册时允许用户指定角色，黑客可未授权创建管理员账户。

管理员账户拥有网站完全权限，可安装插件 / 主题、编辑 PHP、修改安全配置、篡改内容，甚至锁定合法管理员。

获得该权限的攻击者可窃取用户数据库等数据，并植入恶意代码向访客分发恶意程序。

WordPress 安全公司 Defiant（Wordfence 开发商）在过去 24 小时内，在客户环境中拦截了超过 200 次针对该漏洞的利用尝试。

漏洞影响 5.1.2 及以下所有版本。开发者已在 5.1.3 版本中发布修复。建议网站管理员更新至最新版本 5.1.4（上周发布）。

若无法更新，建议暂时禁用或卸载插件。

据 Wordfence 数据，CVE-2026-1492 是该插件今年披露的最严重漏洞。

黑客持续针对 WordPress 网站，用于恶意活动：分发恶意软件、钓鱼、搭建 C2、代理流量或存储被盗数据。

2026 年 1 月，黑客开始利用 Modular DS 插件的最高危漏洞 CVE-2026-23550，可远程绕过认证并以管理员权限访问受影响网站。

END

阅读推荐

【安全圈】Wi-Fi 爆出史上最大安全漏洞！所有路由器无一幸免：HTTPS 加密也没用

【安全圈】报告称微软必应搜索被污染，错误推荐恶意 OpenClaw AI 项目

【安全圈】安全公司警告黑客利用山寨 ZOOM 网站钓鱼，散布远程监控软件

【安全圈】APT37 黑客组织利用新型恶意软件实现跨网攻击

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】WordPress 会员插件漏洞遭利用，攻击者可创建管理员账户》