文章总结： WordPress用户注册和会员插件存在严重漏洞CVE-2026-1492，CVSS评分9.8。受影响版本5.1.2及更早版本因未校验用户注册时的角色参数，允许未经认证攻击者创建管理员账户并接管网站。目前已检测到在野攻击，该插件近期还存在另一认证绕过漏洞，建议用户立即更新。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,WEB安全

WordPress会员插件漏洞允许攻击者创建管理员帐户

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月6日 20:38 北京

WordPress 用户注册和会员插件中发现了一个严重安全漏洞，编号为 CVE-2026-1492  。

该漏洞允许未经身份验证的攻击者绕过安全控制并创建管理员帐户，从而导致网站完全被接管。

用户注册和会员插件可帮助网站所有者创建自定义注册表单和管理用户个人资料。

然而，5.1.2 及更早版本存在严重 的权限管理问题。当新用户注册时，该插件会接受用户提供的角色，而不会强制执行服务器端的权限列表。

由于系统不验证所请求的角色是否被允许，攻击者可以发送请求注册为管理员。

该漏洞使攻击者无需任何事先身份验证即可完全控制受影响的 WordPress 网站。

一旦入侵成功，攻击者可以窃取敏感用户数据、篡改网站内容或安装恶意后门。安全研究员 Foxyyy 发现了该漏洞，其 CVSS 评分为 9.8，属于严重漏洞。

安全系统已检测到正在发生的恶意攻击，过去 24 小时内拦截了 74 次攻击。此外，该插件近期还出现了一系列其他安全问题。

例如，5.1.2 版本也存在身份验证绕过漏洞（编号为 CVE-2026-1779），攻击者可以利用该漏洞完全绕过登录机制。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《WordPress会员插件漏洞允许攻击者创建管理员帐户》