Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
Se ha identificado una vulnerabilidad crítica, designada como CVE-2026-1492 y clasificada bajo CWE-269 (Gestión incorrecta de privilegios), que afecta al plugin User Registration & Membership para WordPress (desarrollado por wpeverest).
La falla de seguridad se produce porque el plugin acepta un parámetro de rol proporcionado por el usuario durante el proceso de registro, sin hacer cumplir una lista de permisos (allowlist) estricta en el lado del servidor. Esto permite a atacantes no autenticados evadir los controles de seguridad, inyectar el valor de un rol elevado y crear cuentas con privilegios de Administrador . Al explotar esta vulnerabilidad, un atacante puede lograr el compromiso total del sitio web afectado sin requerir ningún tipo de interacción del usuario.
Recursos afectados
Esta vulnerabilidad impacta directamente a los sitios de WordPress que utilicen el siguiente componente:
- Plugin: User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin (de wpeverest).
- Versiones vulnerables: Todas las versiones hasta la 5.1.2.
Solución
Actualmente no hay un parche oficial que solucione este error por lo cual se recomienda actualizar el plugin a la versión más reciente proporcionada por el desarrollador en cuanto este disponible.
Mitigación
Se debe deshabilitar temporalmente el registro de usuarios en el sitio de WordPress para evitar la creación de nuevas cuentas maliciosas hasta que se pueda aplicar el parche.
Indicadores de compromiso
Para determinar si el sitio ya ha sido comprometido, se deben monitorear los siguientes indicadores:
- Aparición repentina de nuevos usuarios con el rol de administrator (o roles personalizados con privilegios altos) que no fueron creados por los reponsables.
- Peticiones HTTP POST inusuales dirigidas a los endpoints de registro del plugin (como /wp-admin/admin-ajax.php o rutas del frontend) que incluyan cargas útiles (payloads) intentando modificar el parámetro de rol (por ejemplo, role=administrator).
- Accesos exitosos a consolas de administración (/wp-admin/) provenientes de direcciones IP desconocidas o geográficamente atípicas utilizando cuentas recién creadas.
Recomendaciones
- Revisar la lista de usuarios actuales en el panel de WordPress. Revocar privilegios y eliminar inmediatamente cualquier cuenta de administrador que resulte sospechosa o no autorizada.
- Analizar los registros de acceso del servidor web en busca de los IoCs mencionados durante los días previos a la aplicación del parche.
- Comprobar los ajustes globales de WordPress para garantizar que el "Perfil predeterminado para los nuevos usuarios" esté configurado estrictamente como "Suscriptor".