Se ha identificado una vulnerabilidad crítica, conocida como CVE-2026-1492, en el plugin User Registration & Membership para WordPress. Esta falla permite a atacantes no autenticados evadir controles de seguridad y crear cuentas con privilegios de administrador, lo que puede llevar a un compromiso total del sitio afectado. El problema reside en una gestión inadecuada de privilegios que no valida correctamente los roles asignados durante el registro. Se recomiendan medidas urgentes para mitigar riesgos y proteger las plataformas.
CVE y severidad
| CVE | Descripción | Severidad | CVSS | Estado de explotación |
|---|---|---|---|---|
| CVE-2026-1492 | Gestión incorrecta de privilegios en asignación de roles durante registro, permite creación de cuentas administrador sin autenticación. | Crítica | 9.8 | Explotación activa detectada |
| CVE-2026-1779 | Bypass de autenticación que permite omitir mecanismos de inicio de sesión en la versión 5.1.2 del plugin. | Alta | No disponible | No confirmado en producción |
Productos afectados
El plugin User Registration & Membership para WordPress, en versiones hasta la 5.1.2 inclusive, es vulnerable a estas fallas de seguridad.
Solución
Actualizar a la versión 5.1.3 o posterior del plugin User Registration & Membership.
Recomendaciones
Priorizar la actualización inmediata del plugin para cerrar las vulnerabilidades conocidas y realizar auditorías de usuarios para detectar cuentas administrador no autorizadas. También se recomienda implementar monitoreo del tráfico en puntos de registro para detectar comportamientos sospechosos.