En allvarlig säkerhetsbugg har hittats i WordPress-pluginet User Registration & Membership. Felet gör att hackare kan skapa administratörskonton utan att logga in. Buggen uppstår eftersom pluginet inte kontrollerar vilken användarroll som skickas vid registrering. En angripare kan därför ange rollen som administrator och få full kontroll över webbplatsen.
Sårbarheten kallas CVE-2026-1492 och har riskbetyget 9,8 av 10. Den finns i alla versioner upp till 5.1.2. Pluginet används på över 60 000 WordPress-sajter, och uppskattningsvis minst 37 000 av dem kan fortfarande vara sårbara. Säkerhetsforskare säger också att attacker redan har upptäckts.
Felet är åtgärdat i version 5.1.3, och webbplatsägare bör uppdatera pluginet så snart som möjligt.