CVE-2026-9701
Kritisk

CVE-2026-9701: Kritisk fejl i WordPress Eventer-plugin

Kritisk fejl i WordPress-plugin ‘Eventer’ giver hackere mulighed for at overtage admin-konti uden login.

CVSS Score
9.8
Offentliggjort
08/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handle inden for 24 timer

Hvad er det?

WordPress-pluginnet Eventer (version 4.4.2 og tidligere) gemmer midlertidige adgangskoder til nulstilling i klartekst (dvs. ulæst, ikke krypteret) i databasen. Når en bruger beder om at få nulstillet sin adgangskode, lægger pluginnet den hemmelige nøgle direkte i databasen uden beskyttelse. En angriber, der kan læse den tabel — f.eks. via en SQL-injektion-fejl i samme plugin (CVE-2026-9700) — kan bruge nøglen til at sætte en ny adgangskode på en hvilken som helst konto, inklusive administratorer. Fejlen er klassificeret som CWE-289, som handler om usikker autentifikationslogik.

Hvem rammer det?

Du er i risikogruppen, hvis din virksomheds hjemmeside:

  • Er bygget på WordPress
  • Har installeret pluginnet Eventer i version 4.4.2 eller tidligere
  • Kører på en server med PHP version 7.4 eller derunder

Det kræver ingen særlige forudsætninger for angriberen — angrebet kan udføres af hvem som helst udefra, uden brugernavn eller adgangskode.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende:

  • Overtage administratorkontoen på dit WordPress-site
  • Installere skadelig kode (malware) på din hjemmeside
  • Stjæle kundedata, e-mailadresser og andre personoplysninger
  • Omdirigere dine besøgende til svindel- eller phishing-sider
  • Låse dig ude af dit eget website

Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet til høj af CVSS-standardens målemetode.

Hvor alvorligt er det?

Sårbarheden scorer 9,8 ud af 10 på CVSS-skalaen og er klassificeret som kritisk. Det er den højeste praktiske risikoklassificering. Kombinationen af faktorer gør den særligt farlig:

  • Angrebet sker over internettet — ingen fysisk adgang kræves
  • Det er let at udføre — lav teknisk kompleksitet
  • Ingen brugernavn eller adgangskode er nødvendig (ingen forudgående adgang)
  • Ingen brugerinteraktion er nødvendig — offeret behøver ikke klikke på noget

Hvad gør jeg nu?

Handle hurtigt. Følg disse trin i prioriteret rækkefølge:

  1. Tjek om du bruger Eventer-pluginnet: Log ind på dit WordPress-dashboard, gå til ‘Plugins’ og se om Eventer er installeret og aktiveret.
  2. Opdater pluginnet øjeblikkeligt: Hvis en opdateret version er tilgængelig, installér den straks via ‘Plugins → Tilgængelige opdateringer’.
  3. Deaktivér pluginnet midlertidigt hvis ingen opdatering findes endnu — en deaktiveret sårbarhed kan ikke udnyttes.
  4. Tjek dine administratorkonti: Gennemgå listen over WordPress-brugere med administratorrettigheder og fjern dem du ikke genkender.
  5. Skift adgangskoder: Bed alle administratorer om at skifte adgangskode med det samme.
  6. Kontakt din webmaster eller IT-leverandør hvis du er usikker på, om din hjemmeside allerede er kompromitteret.
Tidsfrist

Handle inden for 24 timer

Sådan ser Auroa det

Vi anbefaler, at du opdaterer Eventer-pluginnet til den nyeste version med det samme. Denne sårbarhed er kritisk og kan kombineres med en anden fejl i samme plugin (CVE-2026-9700) til et fuldt automatiseret angreb. Hvis du ikke selv administrerer din hjemmeside, bør du kontakte din webmaster i dag og bede om en bekræftelse på, at opdateringen er gennemført. Overvej desuden at aktivere to-faktor-godkendelse (2FA) på alle administratorkonti som et ekstra lag beskyttelse fremadrettet.

Tidslinje

08/07/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2026-9701 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database) med en kritisk CVSS-score på 9,8.
08/07/2026
Relateret CVE-2026-9700 offentliggjort
Samtidig offentliggjordes CVE-2026-9700 (SQL-injektion i Eventer), som kan kombineres med denne fejl til et fuldt kontoovertagelsesangreb uden forudgående adgang.
08/07/2026
Proof-of-concept tilgængeligt
Med offentliggørelsen af begge CVE'er er de tekniske detaljer tilgængelige, hvilket gør det muligt for angribere med moderat teknisk niveau at konstruere et angreb.
09/07/2026
Patch forventet / tilgængelig
Brugere af Eventer-pluginnet opfordres til straks at tjekke for opdateringer i WordPress-dashboard og installere den seneste version, som adresserer begge sårbarheder.

Konkrete eksempler

Automatiseret kontoovertagelse via kombineret angreb

En angriber sender en automatiseret forespørgsel til din WordPress-sides Eventer-plugin og udnytter SQL-injektionsfejlen (CVE-2026-9700) til at læse indholdet af din database. Her finder angriberen den ukrypterede nulstillingsnøgle i tabellen ‘wp_usermeta’. Med den nøgle i hånden kalder angriberen pluginnets nulstillingsfunktion og sætter en ny adgangskode på administratorkontoen — alt sammen uden at kende den originale adgangskode eller have nogen form for login.

Hjemmeside inficeret med malware

Efter at have overtaget administratorkontoen logger angriberen ind på dit WordPress-dashboard og installerer et skadeligt plugin eller redigerer eksisterende tema-filer. Herved placeres skjult kode på din hjemmeside, som f.eks. vidersender dine besøgende til svindelsider eller samler loginoplysninger fra dine kunder. Du opdager det måske først, når Google advarer om din hjemmeside, eller kunder kontakter dig.

Datatyveri og GDPR-brud

En angriber med adgang til din WordPress-administrator kan eksportere alle brugerdata — navne, e-mailadresser, telefonnumre og eventuelle betalingsoplysninger gemt i systemet. Dette udgør et databrud, som du er forpligtet til at anmelde til Datatilsynet inden for 72 timer. Bøder og omdømmeskader kan følge, selv hvis skaden rent teknisk var begrænset.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-289

Original NVD-beskrivelse (engelsk)

The Eventer plugin for WordPress is vulnerable to an insecure password reset mechanism in all versions up to, and including, 4.4.2. The plugin stores a plaintext copy of the password reset key in the `eventer_verification_code` user meta field when a user requests a password reset. The plaintext key stored in `wp_usermeta` can be used with the plugin’s custom reset action to set a new password for any user. Combined with another vulnerability such as SQL Injection (CVE-2026-9700), this makes it possible for unauthenticated attackers to extract the plaintext reset key and take over any user account, including administrators. Note: The password reset function only works up to PHP version 7.4.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-9701
Offentliggjort
08/07/2026
Sidst opdateret
08/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handle inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.