CVE-2026-6145

Nome do Software Vulnerável e Versões Afetadas User Registration & Membership plugin for WordPress versões anteriores a 5.1.6

Descrição Existe um problema onde a função is admin creation process() depende exclusivamente da presença do parâmetro action=createuser dentro da superglobal $ REQUEST sem verificar a autenticação ou as permissões do usuário. Isso permite que invasores não autenticados ignorem a exigência de aprovação do administrador durante o processo de registro de conta por meio do caminho de envio de fallback.

Recomendações Atualize o plugin para uma versão posterior a 5.1.5. Como medida paliativa temporária, restrinja o acesso ao caminho de envio de fallback do registro para minimizar o risco de criação de contas não autorizadas.