CVE-2026-8607: XSS-sårbarhed i WordPress myCred
Sårbarhed i WordPress-plugin myCred lader angribere med adgang som bidragyder plante skadelig kode på din hjemmeside.
Hvad er det?
CVE-2026-8607 er en såkaldt Stored Cross-Site Scripting-sårbarhed (XSS) i WordPress-plugin’et myCred, der bruges til point-systemer, badges og loyalitetsprogrammer på hjemmesider. Fejlen skyldes, at plugin’et ikke renser input korrekt, når en bruger anvender en bestemt genvejskode (kaldet en ‘shortcode’) i indhold på siden. Det betyder, at en angriber med selv en begrænset brugerkonto — f.eks. som bidragyder — kan gemme ondsindet JavaScript-kode i din hjemmeside. Denne kode kører automatisk i browseren hos alle, der efterfølgende besøger den berørte side. Alle versioner af myCred op til og med version 3.1 er sårbare.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomhed driver en WordPress-hjemmeside med myCred-plugin’et installeret i version 3.1 eller ældre. Det er særligt relevant, hvis din hjemmeside har funktioner som:
- Point- eller belønningssystemer for kunder eller brugere
- Loyalitetsprogrammer, badges eller rangsystemer
- Mulighed for, at eksterne brugere kan oprette indhold (f.eks. bidragydere, forfattere)
Jo flere brugere der kan logge ind og oprette indhold på din side, jo større er risikoen.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne inkludere:
- Tyveri af login-cookies: Besøgendes sessioner kan kapres, så angriberen overtager deres konti — herunder potentielt administratorkonti.
- Phishing fra din egen hjemmeside: Angriberen kan vise falske login-formularer eller advarsler direkte på din side for at narre dine besøgende.
- Spredning af malware: Ondsindet kode kan omdirigere dine besøgende til skadelige hjemmesider eller forsøge at installere virus på deres computere.
- Skade på omdømme: Kunder og samarbejdspartnere, der rammes via din hjemmeside, kan miste tilliden til din virksomhed.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat alvor med en CVSS-score på 6,4 ud af 10. Det er ikke den mest kritiske kategori, men den bør tages alvorligt af følgende grunde:
- Angrebet kan udføres over internettet uden særlige tekniske forudsætninger.
- En angriber behøver kun en lavprivilegeret konto (f.eks. bidragyder) — det er ikke nødvendigt at være administrator.
- Den skadelige kode gemmes permanent på din hjemmeside og rammer alle besøgende, indtil den fjernes.
- Påvirker fortrolighed og integritet af data — dog ikke systemets tilgængelighed direkte.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside hurtigst muligt:
- Tjek din WordPress-installation: Log ind i dit WordPress-dashboard og gå til ‘Plugins’. Find myCred og notér versionsnummeret.
- Opdatér myCred straks: Hvis du kører version 3.1 eller ældre, skal du opdatere plugin’et til den seneste version via ‘Plugins → Tilgængelige opdateringer’.
- Gennemgå brugerkonti: Tjek, om der er bidragydere eller forfattere på din side, som du ikke genkender. Fjern eller deaktivér mistænkelige konti.
- Begræns hvem der kan oprette indhold: Overvej om alle brugere virkelig har brug for rollen ‘bidragyder’. Tildel kun de rettigheder, der er nødvendige.
- Scan din hjemmeside for skadelig kode: Brug et sikkerhedsplugin (f.eks. Wordfence eller Sucuri) til at scanne siden for allerede indsat skadelig kode.
- Kontakt din webmaster eller IT-leverandør: Hvis du er i tvivl om noget af ovenstående, så bed din tekniske ansvarlige om hjælp.
Opdatér inden for 7 dage
Vi anbefaler, at du opdaterer myCred-plugin’et til nyeste version hurtigst muligt — gerne inden for den kommende uge. Selvom sårbarheden kræver, at en angriber har en brugerkonto på din side, er det ikke en tilstrækkelig sikkerhed i sig selv. Gennemgå samtidig dine brugerlister og begræns adgangen til kun dem, der har et reelt behov. Hvis du bruger myCred på en hjemmeside med mange brugere eller følsomme kundedata, bør du også overveje at scanne siden for tegn på, at sårbarheden allerede er blevet udnyttet.
Tidslinje
Konkrete eksempler
Kapring af administrator-session
En angriber opretter en gratis brugerkonto på din WordPress-hjemmeside som bidragyder. Via myCred-plugin’ets shortcode indsætter angriberen et skjult JavaScript-script i et blogindlæg eller en side. Når din administrator besøger siden, stjæler scriptet automatisk administratorens login-cookie og sender den til angriberen — som herefter kan overtage din hjemmeside fuldstændigt uden at kende adgangskoden.
Falsk login-formular rammer dine kunder
En angriber med bidragyder-adgang indsætter skadelig kode via myCred-shortcodes i en populær side på din webshop. Koden viser en overbevisende falsk login-popup til alle besøgende kunder. Kunder der indtaster deres brugernavn og adgangskode sender ubevidst deres oplysninger direkte til angriberen, mens de tror, de logger ind på din side som normalt.
Omdirigering til phishing-side
Via den lagrede XSS-sårbarhed indsætter en angriber et script, der automatisk omdirigerer alle besøgende til en ekstern hjemmeside, der efterligner din virksomheds side. Her forsøger angriberen at indsamle betalingsoplysninger eller installere malware på de besøgendes computere. Dine kunder forbinder angrebet med din virksomhed, hvilket skader tilliden alvorligt.
Ofte stillede spørgsmål
Hvad er Cross-Site Scripting (XSS)?
Cross-Site Scripting (XSS) er en type angreb, hvor en angriber formår at gemme eller indlejre ondsindet JavaScript-kode på en hjemmeside. Koden aktiveres automatisk i besøgendes browsere, uden at de opdager det. Det kan bruges til at stjæle login-oplysninger, kapre sessioner eller omdirigere brugere til skadelige sider.
Er min hjemmeside i fare, hvis jeg ikke har registrerede bidragydere?
Risikoen er lavere, men ikke elimineret. Sårbarheden kræver en brugerkonto med bidragyder-niveau eller højere. Hvis din side ikke har sådanne brugere udefra, er den direkte risiko reduceret. Alligevel anbefales det at opdatere plugin’et, da situationen kan ændre sig, og et kompromitteret administratorlogin ville give fuld adgang.
Kan jeg bare deaktivere myCred i stedet for at opdatere?
Ja, at deaktivere plugin’et fjerner sårbarheden midlertidigt. Husk dog, at det også slår alle myCred-funktioner fra på din side — herunder point-systemer og loyalitetsprogrammer. Det kan påvirke din hjemmesides funktionalitet over for kunderne. Opdatering til nyeste version er den anbefalede løsning, da den lukker hullet og bevarer funktionaliteten.
Hvordan ved jeg, om min side allerede er blevet angrebet?
Tegn på et angreb kan inkludere: uventet indhold eller scripts på dine sider, klager fra besøgende om omdirigeringer til fremmede hjemmesider, eller ukendte brugere i dit WordPress-system. Brug et sikkerhedsplugin som Wordfence eller Sucuri til at scanne siden for skadelig kode. Hvis du finder noget mistænkeligt, bør du kontakte en it-sikkerhedsekspert.
Gælder sårbarheden også andre plugins end myCred?
Denne specifikke sårbarhed (CVE-2026-8607) gælder kun myCred-plugin’et. XSS-sårbarheder er dog generelt udbredte i WordPress-plugins. Det er god praksis løbende at holde alle dine plugins og WordPress-kernen opdateret for at minimere den samlede risiko.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program – myCred plugin for WordPress is vulnerable to Stored Cross-Site Scripting via ‘wrap’ Shortcode Attribute in all versions up to, and including, 3.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
