CVE-2026-1291: Meow Gallery WordPress sårbarhed
WordPress-plugin Meow Gallery lader indloggede brugere med lav adgang overskrive andres galleri-indhold uden tilladelse.
Hvad er det?
Meow Gallery er et populært WordPress-plugin til at vise billedgallerier på hjemmesider. En fejl i pluginnets programmeringsinterface (REST API) betyder, at enhver indlogget bruger med rollen ‘Forfatter’ eller højere kan oprette eller overskrive eksisterende galleri-konfigurationer. Det skyldes, at systemet ikke tjekker, om brugeren faktisk har lov til at ændre den pågældende post. En angriber behøver altså ikke at være administrator — det er nok at have en almindelig brugerkonto på siden.
Hvem rammer det?
Sårbarheden rammer alle WordPress-hjemmesider, der bruger Meow Gallery i version 5.4.4 eller tidligere, og som har mere end én bruger med rollen Forfatter, Redaktør eller Administrator. Det er typisk relevant for:
- Virksomheder med nyhedsside, blog eller portfolio på WordPress
- Foreninger og organisationer med frivillige skribenter
- Webshops og bureauer der bruger WordPress som CMS (indholdsstyringssystem)
Hvad kan ske?
En angriber der allerede har en brugerkonto på din WordPress-hjemmeside kan udnytte fejlen til at:
- Overskrive eksisterende billedgallerier med eget indhold — fx uønskede billeder eller links
- Oprette falske galleri-poster der forvirrer indholdet på siden
- Manipulere hjemmesidens udseende og troværdighed uden at efterlade tydelige spor i administrationen
Der er ingen risiko for, at angriberen kan læse hemmelige data eller nedlukke siden. Skaden er begrænset til ændring af indhold.
Hvor alvorligt er det?
CVSS-scoren er 4,3 ud af 10, hvilket klassificeres som moderat. Angrebet kræver, at angriberen allerede er indlogget med en gyldig brugerkonto — det er ikke muligt at udnytte fejlen uden forudgående adgang. Konsekvensen er begrænset til indholdssabotage og påvirker hverken fortrolighed eller tilgængelighed af siden. For de fleste SMV’er er risikoen lav, men bør ikke ignoreres, særligt hvis siden har mange brugere.
Hvad gør jeg nu?
Følg disse trin for at lukke hullet:
- Opdatér Meow Gallery-pluginnet til den nyeste version via WordPress-admin under Plugins → Opdateringer. Fejlen er rettet i version 5.4.5 eller nyere.
- Gennemgå dine WordPress-brugere og fjern konti der ikke længere er i brug, eller skru ned for rollen på brugere der ikke har brug for Forfatter-adgang.
- Tjek eksisterende gallerier for uventede ændringer eller fremmed indhold, så du kan genoprette eventuelt manipulerede poster.
- Overvej to-faktor-login for alle brugere med adgang til WordPress-backend, så det er sværere at misbruge en stjålet konto.
Opdatér inden for 7 dage
Opdatér Meow Gallery-pluginnet hurtigst muligt — det er en simpel og hurtig handling der lukker hullet. Udnyttelse kræver en indlogget brugerkonto, så risikoen er størst for sider med mange aktive brugere. Brug anledningen til at rydde op i gamle WordPress-konti og sikre, at brugere kun har det adgangsniveau de reelt har brug for.
Tidslinje
Konkrete eksempler
Tidligere freelanceskribent misbruger sin konto
En virksomhed har tidligere brugt en freelance-tekstforfatter, der har fået oprettet en WordPress-konto med rollen ‘Forfatter’. Samarbejdet er afsluttet, men kontoen er aldrig slettet. Den tidligere freelancer sender en HTTP-forespørgsel direkte til API-adressen og overskriver virksomhedens forsidegalleri med uønskede billeder. Fejlen opdages først, da en kunde spørger ind til det fremmede indhold.
Internt misbrug af en utilfreds medarbejder
En medarbejder med adgang til virksomhedens blog-backend har rollen ‘Redaktør’. Uden at kende administratoradgangskoden sender medarbejderen en manipuleret forespørgsel til Meow Gallery-endpointet og ændrer id-værdien til en galleri-post, vedkommende normalt ikke må redigere. Resultatet er, at en kollegas galleri-samling overskrives med forkert indhold — uden at efterlade spor i den normale aktivitetslog.
Automatiseret scanning efterfulgt af masseændring
Et automatiseret scannerværktøj identificerer en WordPress-side som sårbar over for CVE-2026-1291. En angriber, der tidligere har erhvervet gyldige loginoplysninger via phishing, logger ind med en forfatter-konto og kører et script der systematisk overskriver alle galleri-poster på siden med links til skadelige hjemmesider. Besøgende på siden møder nu indhold der forsøger at narre dem til at klikke på farlige links.
Ofte stillede spørgsmål
Kan ukendte udefra udnytte denne sårbarhed?
Nej. Angriberen skal have en aktiv og gyldig brugerkonto på din WordPress-hjemmeside med rollen Forfatter eller højere. Anonyme besøgende på siden kan ikke udnytte fejlen.
Hvad sker der med mine eksisterende billedgallerier?
En angriber med adgang kan potentielt overskrive indholdet i dine gallerier. Det er en god idé at gennemse dine gallerier efter opdateringen for at sikre, at alt ser korrekt ud.
Bliver mit kundernes data eller betalingsoplysninger kompromitteret?
Nej. Sårbarheden giver kun mulighed for at ændre galleri-indhold. Der er ingen risiko for læk af persondata, adgangskoder eller betalingsoplysninger.
Jeg har kun én WordPress-bruger — er jeg i fare?
Hvis du er den eneste bruger på siden, er risikoen meget begrænset. En angriber ville i givet fald allerede have fuld administratoradgang og kunne gøre langt mere skade ad andre veje. Opdatér alligevel, da det er god praksis.
Hvad er et WordPress-plugin, og hvordan opdaterer jeg det?
Et plugin er et lille tilføjelsesprogram til WordPress der udvider funktionaliteten. Du opdaterer det ved at logge ind i WordPress-admin, gå til Plugins → Installerede plugins, finde Meow Gallery og klikke ‘Opdatér’. Det tager typisk under et minut.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Meow Gallery plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the REST API endpoint /wp-json/meow-gallery/v1/save_shortcode in all versions up to, and including, 5.4.4 This makes it possible for authenticated attackers, with Author-level access and above, to arbitrarily create or overwrite existing gallery shortcode records by supplying a user-controlled id value. The endpoint performs database update operations without verifying that the requesting user is authorized to modify the referenced gallery record or create their own.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
