Uma falha grave no plugin User Registration & Membership, desenvolvido por WPEverest e presente em dezenas de milhares de sites WordPress, está sendo aproveitada por atacantes para tomar o controle de páginas web. O problema, identificado como CVE-2026-1492 e qualificado com uma pontuação de severidade crítica de 9.8, permite a um ator mal-intencionado criar contas com privilégios de administrador sem necessidade de autenticar-se, aproveitando que o plugin aceita o papel do usuário fornecido durante o processo de registro.
Esse vetor é especialmente perigoso porque uma conta de administrador no WordPress não é uma simples conta com mais opções de edição: confere a capacidade de instalar e remover plugins e temas, executar ou modificar código PHP, alterar configurações de segurança, remover contas legítimas e mudar conteúdo. Com esse controle, um atacante pode extrair bases de dados de usuários, inserir portas traseiras e código malicioso para distribuir malware ou montar infraestrutura de controle, armazenamento de dados roubados ou proxys para tráfico ilícito.
Os dados públicos recolhidos por investigadores mostram actividade de exploração activa. A assinatura Defiant, criadora do plugin de segurança Wordfence, registrou e bloqueou mais de 200 tentativas de exploração em ambientes de clientes durante as últimas 24 horas. O alcance aumenta a urgência de agir: o plugin em causa tem presença em mais de 60.000 instalações de acordo com a sua ficha pública, o que torna muitos sites em potenciais objetivos se não forem adesivos.
Os responsáveis pelo plugin publicaram uma correção que fecha a vulnerabilidade original. As versões até 5.1.2 são afetadas; o problema foi inicialmente abordado na versão 5.1.3 e, desde então, recomenda-se actualizar para a versão mais recente disponível (no momento do aviso, 5.1.4). Você pode verificar a informação oficial e baixar a atualização do repositório do WordPress na página do projeto: User Registration no WordPress.org, e consultar a documentação do desenvolvedor em WPEverest.
Se não for possível aplicar a atualização imediatamente, a alternativa recomendada pelos especialistas é desativar temporariamente ou remover o plugin até que você possa instalar a versão corrigida. Esta é uma medida preventiva simples que evita que uma interface vulnerável esteja disponível publicamente para exploradores automáticos ou manuais.
Além de aplicar o adesivo ou desativar o plugin, é conveniente realizar uma revisão proativa do site. Verifique a lista de usuários e remove contas administrativas desconhecidas; inspecione os logs de acesso e registro para detectar picos invulgares de atividade ou registros de criação de usuários; executa uma digitalização com soluções de segurança para WordPress e, se houver a menor suspeita de compromisso, restaura de uma cópia de segurança limpa e rota as credenciais e chaves de API associadas. Para diretrizes gerais de fortalecimento e boas práticas, você pode consultar o guia oficial de endurecimento do WordPress: Hardening WordPress, e a explicação de papéis e capacidades para saber o que revisar nas permissões: Roles e capacidades.
Este incidente se encaixa numa tendência mais ampla: os plugins continuam sendo um vetor preferido pelos atacantes para conseguir escalado de privilégios ou execução remota. Durante os últimos meses foram publicados e explorados várias vulnerabilidades críticas em complementos populares que permitiram desde a obtenção de acesso administrativo até a execução de código à distância. Em janeiro de 2026, por exemplo, foi documentada outra exploração ativa que permitia acesso de administrador em locais vulneráveis através de uma falha máxima no plugin Modular DS (CVE-2026-23550), o que sublinha a necessidade de manter um ciclo de atualização e monitoramento constante.
Se você é administrador de uma web, a regra prática é simples: atualiza agora e verifica o estado do site. Se você gerencia várias instalações, programa atualizações automáticas para componentes críticos ou aplique controles que limitem a exposição de páginas de registro públicas. Para equipes que oferecem serviços web a terceiros, informa os clientes com rapidez e compartilha as instruções claras para mitigar o risco.
A boa notícia é que, desde que se instale a versão adesivo, a vulnerabilidade fica resolvida. A má notícia é que os atacantes não esperam: explodem rapidamente buracos conhecidos, especialmente quando estes permitem criar administradores sem autenticação. Manter os plugins atualizados, combinar isto com cópias de segurança regulares e uma solução de segurança que detecte comportamento anormal são medidas simples que reduzem significativamente o risco de se comprometer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...