CVE-2026-12417: Kritisk WordPress SignUp Plugin-fejl
WordPress-plugin lader hvem som helst overtage administratorkonti uden adgangskode – patch ikke tilgængelig endnu.
Hvad er det?
CVE-2026-12417 er en kritisk sikkerhedsfejl i WordPress-pluginnet SignUp & SignIn (version 1.0.0 og ældre). Fejlen sidder i den funktion, der håndterer nulstilling af adgangskoder. Funktionen tjekker ikke, om den person, der beder om at skifte adgangskode, er den rigtige bruger. Hvis en bruger aldrig har bedt om en adgangskodsnulstilling, returnerer systemet en tom værdi – og det er nok til, at en angriber kan sende en tom kode og få adgang. Resultatet er, at en fuldstændig ukendt person udefra kan sætte en ny adgangskode på hvilken som helst konto på dit WordPress-site, inklusive din administratorkonto.
Hvem rammer det?
Sårbarheden rammer alle WordPress-hjemmesider, der har pluginnet SignUp & SignIn version 1.0.0 eller ældre installeret og aktiveret. Det gælder uanset om din hjemmeside er en webshop, en virksomhedsside eller en blog. Du behøver ikke have gjort noget forkert – fejlen er i selve pluginkoden. Angriberen behøver ingen konto på dit site og kræver ingen særlig teknisk viden for at udnytte fejlen.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Overtage din administratorkonto og få fuld kontrol over hele hjemmesiden
- Installere skadelig kode (malware) eller bagdøre på dit site
- Stjæle kundedata, herunder e-mailadresser, ordrehistorik og betalingsoplysninger
- Omdirigere dine besøgende til svindelsider eller phishing-sider
- Slette eller ændre indhold, hvilket kan skade dit omdømme og din forretning
- Bruge dit site til at angribe andre – f.eks. som del af et botnet
Hvor alvorligt er det?
Denne sårbarhed har fået den højest mulige CVSS-score på 9,8 ud af 10 (Kritisk). Det skyldes, at angrebet kan udføres over internettet uden særlige tekniske forudsætninger, uden en eksisterende konto og uden, at du eller dine brugere gør noget forkert. Alle tre kerneområder – fortrolighed, integritet og tilgængelighed – er fuldt kompromitteret ved et vellykket angreb. Det er med andre ord en af de mest alvorlige typer fejl, der findes.
Hvad gør jeg nu?
Der er endnu ikke udgivet en officiel opdatering til pluginnet. Følg disse trin hurtigst muligt:
- Deaktiver og afinstaller pluginnet SignUp & SignIn med det samme – så længe der ikke foreligger en sikkerhedsopdatering, er det ikke sikkert at have det aktivt på dit site.
- Gennemse dine WordPress-brugerkonti – tjek om der er oprettet ukendte administratorkonti. Slet dem straks.
- Skift adgangskoder på alle administratorkonti og andre vigtige brugerkonti på dit WordPress-site.
- Tjek dine logfiler (eller bed din webudvikler om det) for mistænkelige POST-forespørgsler til
admin-ajax.phpmed parameterenaction=pravel_change_password. - Hold øje med pluginudviklerens side for en opdateret version af pluginnet, og installer den straks når den er tilgængelig.
- Overvej en sikkerhedsscan af dit site med et WordPress-sikkerhedsplugin (f.eks. Wordfence eller Sucuri) for at opdage eventuel skadelig kode.
Handle inden for 24 timer
Auroa anbefaler, at du deaktiverer pluginnet SignUp & SignIn øjeblikkeligt, hvis det er installeret på dit WordPress-site. Da der ikke foreligger en sikkerhedsopdatering, er det den eneste effektive beskyttelse lige nu. Kontakt din webudvikler eller Auroa, hvis du er usikker på, om du er berørt, eller hvis du har brug for hjælp til at undersøge, om dit site allerede er kompromitteret.
Tidslinje
Konkrete eksempler
Angriberen overtager administratorkontoen
En angriber finder dit WordPress-sites bruger-ID for administrator (typisk ID 1) via offentligt tilgængelige metoder. Angriberen sender en enkelt HTTP-forespørgsel til dit sites admin-ajax.php med en tom nulstillingskode og et selvvalgt nyt kodeord. Fordi pluginnet ikke validerer koden, accepteres ændringen. Angriberen logger nu ind som administrator og har fuld kontrol over dit site.
Masseangreb via automatiseret scanning
Hackere bruger automatiserede værktøjer til at scanne tusindvis af WordPress-sites for det sårbare plugin. Sites med pluginnet installeret markeres og angribes automatisk inden for minutter. Din side kan blive kompromitteret, selvom du ikke er et specifikt mål – du er bare ét af mange tilfældigt fundne ofre i et masseangreb.
Kundedatafra en webshop stjæles
En angriber overtager administratorkontoen på en WooCommerce-webshop via denne sårbarhed. Fra dashboardet eksporterer angriberen alle kundeordrer med navne, adresser og e-mailadresser. Disse data kan sælges på det mørke net eller bruges til phishing-angreb mod dine kunder – og du hæfter for bruddet under GDPR.
Ofte stillede spørgsmål
Hvordan ved jeg, om jeg bruger det berørte plugin?
Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins. Søg efter SignUp & SignIn. Hvis pluginnet er der og har version 1.0.0 eller lavere, er du berørt og bør deaktivere det med det samme.
Er mit site allerede blevet angrebet?
Det er svært at sige med sikkerhed uden en gennemgang af dine logfiler. Tegn på kompromittering kan være: ukendte administratorbrugere i dit WordPress-dashboard, ændringer i indhold du ikke har foretaget, eller at din webudvikler finder mistænkelig kode på serveren. Kontakt Auroa eller din webudvikler for en nærmere undersøgelse.
Kan jeg bare lade pluginnet ligge deaktiveret og vente på en patch?
Ja, at deaktivere pluginnet er tilstrækkeligt til at lukke for angrebet, da fejlen kun kan udnyttes, når pluginnet er aktivt. Afinstallation er dog at foretrække, da det fjerner al koden fra serveren. Hold øje med pluginudviklerens opdateringer.
Hvad er en CVSS-score, og hvad betyder 9,8?
CVSS (Common Vulnerability Scoring System) er en international standard for at bedømme, hvor alvorlig en sikkerhedsfejl er. Skalaen går fra 0 til 10. En score på 9,8 er kritisk og betyder, at fejlen er meget let at udnytte, kræver ingen særlige rettigheder, og kan gøre fuld skade på dit system.
Hvad gør jeg, hvis jeg har brug for login-funktionalitet på mit site?
WordPress har indbyggede login- og registreringsfunktioner, som er langt mere gennemtestede. Der findes også velafprøvede alternativer som WPForms eller Profile Builder, der jævnligt vedligeholdes sikkerhedsmæssigt. Spørg din webudvikler om det bedste alternativ til din specifikke brug.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The SignUp & SignIn plugin for WordPress is vulnerable to Authentication Bypass via Weak Password Reset Validation leading to Account Takeover in versions up to, and including, 1.0.0. This is due to the `pravel_change_password()` AJAX handler — registered via `wp_ajax_nopriv_pravel_change_password` and therefore accessible to unauthenticated users — performing no nonce verification, no capability check, and only a loose equality check between an attacker-supplied `reset_activation_code` POST parameter and the target user’s `forgot_email` user meta value; when a user has never initiated a password reset, `get_user_meta()` returns an empty string that trivially satisfies this check against an omitted or empty attacker-supplied code. This makes it possible for unauthenticated attackers to change the password of any WordPress user, including administrators, by sending a crafted POST request to `admin-ajax.php` with `action=pravel_change_password`, `reset_user_id` set to the target account’s user ID, and `new_password_custom` set to an attacker-chosen password. Successful exploitation allows the attacker to authenticate with the newly set password and fully take over the targeted account, achieving administrator-level privilege escalation on the affected site.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
