Na podobné zprávy už jsou správci webů zvyklí. Tentokrát ale nejde o drobnost, kterou lze odložit na později. Zranitelnost označená jako CVE-2026-1492 se týká oblíbeného pluginu User Registration & Membership a její dopad je překvapivě přímý. Útočník se může dostat do administrace bez toho, aby znal jediné heslo.

Na problém upozornila 17. dubna 2026 bezpečnostní společnost Cyfirma. Podle jejích zjištění je slabina ve verzích do 5.1.2 včetně a v praxi může zasáhnout desítky tisíc webů. Plugin se totiž používá poměrně často, hlavně tam, kde je potřeba registrace uživatelů nebo členská sekce.

Kde vznikla chyba

Celý problém stojí na tom, že plugin nedůsledně kontroluje, kdo vlastně odesílá požadavky na server. Část logiky spoléhá na data z prohlížeče, což je vždycky risk. Jakmile si někdo dá práci s jejich úpravou, může backend přimět k tomu, aby provedl akci, kterou by normálně nepovolil.

Důležitou roli hrají nonce hodnoty. Ty se běžně používají jako ochrana proti zneužití, jenže v tomto případě jsou viditelné přímo v JavaScriptu na stránce. To znamená, že si je může přečíst i člověk, který není přihlášený.

Stačí pak poslat upravený požadavek na adresu /wp-admin/admin-ajax.php. Server ho přijme a zpracuje, aniž by ověřil oprávnění. V některých scénářích tím útočník získá administrátorská práva a to bez přihlášení nebo upozornění.

A co s tím má dělat provozovatel?

Jakmile má někdo administrátorský přístup, web už mu v podstatě patří. Může měnit obsah, instalovat pluginy nebo si připravit zadní vrátka pro další návrat. Časté je vytvoření nového účtu, který na první pohled nevypadá podezřele.

Vedle toho se objevují i útoky, které návštěvníky přesměrovávají jinam, typicky na podvodné stránky. V některých případech jde o šíření malwaru, jindy o sběr přihlašovacích údajů. Ohrožená jsou i data uložená na webu.

Závažnost potvrzuje i skóre 9,8 z 10 podle CVSS v4.0. Nejde jen o teoretický problém. Na diskusních fórech se už objevují konkrétní postupy, jak chybu zneužít, a řeší se i možnosti automatizace útoků.

Oprava přišla ve verzi 5.1.3, kde vývojáři zpřísnili kontrolu vstupních dat i oprávnění. Pokud někdo plugin používá, měl by jej aktualizovat bez odkladu. Dává smysl projít i seznam uživatelů a podívat se, jestli se tam neobjevil účet, který tam nemá co dělat. Podobné chyby se ve WordPressu objevují opakovaně, ale ne každá je takhle snadno zneužitelná. Jednoduchost útoku z ní dělá problém, který není dobré podcenit.