CVE-2026-9701: Kritisk fejl i WordPress Eventer-plugin
Kritisk fejl i WordPress-plugin ‘Eventer’ giver hackere mulighed for at overtage admin-konti uden login.
Hvad er det?
WordPress-pluginnet Eventer (version 4.4.2 og tidligere) gemmer midlertidige adgangskoder til nulstilling i klartekst (dvs. ulæst, ikke krypteret) i databasen. Når en bruger beder om at få nulstillet sin adgangskode, lægger pluginnet den hemmelige nøgle direkte i databasen uden beskyttelse. En angriber, der kan læse den tabel — f.eks. via en SQL-injektion-fejl i samme plugin (CVE-2026-9700) — kan bruge nøglen til at sætte en ny adgangskode på en hvilken som helst konto, inklusive administratorer. Fejlen er klassificeret som CWE-289, som handler om usikker autentifikationslogik.
Hvem rammer det?
Du er i risikogruppen, hvis din virksomheds hjemmeside:
- Er bygget på WordPress
- Har installeret pluginnet Eventer i version 4.4.2 eller tidligere
- Kører på en server med PHP version 7.4 eller derunder
Det kræver ingen særlige forudsætninger for angriberen — angrebet kan udføres af hvem som helst udefra, uden brugernavn eller adgangskode.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Overtage administratorkontoen på dit WordPress-site
- Installere skadelig kode (malware) på din hjemmeside
- Stjæle kundedata, e-mailadresser og andre personoplysninger
- Omdirigere dine besøgende til svindel- eller phishing-sider
- Låse dig ude af dit eget website
Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet til høj af CVSS-standardens målemetode.
Hvor alvorligt er det?
Sårbarheden scorer 9,8 ud af 10 på CVSS-skalaen og er klassificeret som kritisk. Det er den højeste praktiske risikoklassificering. Kombinationen af faktorer gør den særligt farlig:
- Angrebet sker over internettet — ingen fysisk adgang kræves
- Det er let at udføre — lav teknisk kompleksitet
- Ingen brugernavn eller adgangskode er nødvendig (ingen forudgående adgang)
- Ingen brugerinteraktion er nødvendig — offeret behøver ikke klikke på noget
Hvad gør jeg nu?
Handle hurtigt. Følg disse trin i prioriteret rækkefølge:
- Tjek om du bruger Eventer-pluginnet: Log ind på dit WordPress-dashboard, gå til ‘Plugins’ og se om Eventer er installeret og aktiveret.
- Opdater pluginnet øjeblikkeligt: Hvis en opdateret version er tilgængelig, installér den straks via ‘Plugins → Tilgængelige opdateringer’.
- Deaktivér pluginnet midlertidigt hvis ingen opdatering findes endnu — en deaktiveret sårbarhed kan ikke udnyttes.
- Tjek dine administratorkonti: Gennemgå listen over WordPress-brugere med administratorrettigheder og fjern dem du ikke genkender.
- Skift adgangskoder: Bed alle administratorer om at skifte adgangskode med det samme.
- Kontakt din webmaster eller IT-leverandør hvis du er usikker på, om din hjemmeside allerede er kompromitteret.
Handle inden for 24 timer
Vi anbefaler, at du opdaterer Eventer-pluginnet til den nyeste version med det samme. Denne sårbarhed er kritisk og kan kombineres med en anden fejl i samme plugin (CVE-2026-9700) til et fuldt automatiseret angreb. Hvis du ikke selv administrerer din hjemmeside, bør du kontakte din webmaster i dag og bede om en bekræftelse på, at opdateringen er gennemført. Overvej desuden at aktivere to-faktor-godkendelse (2FA) på alle administratorkonti som et ekstra lag beskyttelse fremadrettet.
Tidslinje
Konkrete eksempler
Automatiseret kontoovertagelse via kombineret angreb
En angriber sender en automatiseret forespørgsel til din WordPress-sides Eventer-plugin og udnytter SQL-injektionsfejlen (CVE-2026-9700) til at læse indholdet af din database. Her finder angriberen den ukrypterede nulstillingsnøgle i tabellen ‘wp_usermeta’. Med den nøgle i hånden kalder angriberen pluginnets nulstillingsfunktion og sætter en ny adgangskode på administratorkontoen — alt sammen uden at kende den originale adgangskode eller have nogen form for login.
Hjemmeside inficeret med malware
Efter at have overtaget administratorkontoen logger angriberen ind på dit WordPress-dashboard og installerer et skadeligt plugin eller redigerer eksisterende tema-filer. Herved placeres skjult kode på din hjemmeside, som f.eks. vidersender dine besøgende til svindelsider eller samler loginoplysninger fra dine kunder. Du opdager det måske først, når Google advarer om din hjemmeside, eller kunder kontakter dig.
Datatyveri og GDPR-brud
En angriber med adgang til din WordPress-administrator kan eksportere alle brugerdata — navne, e-mailadresser, telefonnumre og eventuelle betalingsoplysninger gemt i systemet. Dette udgør et databrud, som du er forpligtet til at anmelde til Datatilsynet inden for 72 timer. Bøder og omdømmeskader kan følge, selv hvis skaden rent teknisk var begrænset.
Ofte stillede spørgsmål
Hvad er Eventer-pluginnet, og bruger vi det?
Eventer er et WordPress-plugin til håndtering og visning af begivenheder og arrangementer på hjemmesider. Du kan tjekke om det er installeret ved at logge ind på dit WordPress-dashboard og gå til menupunktet ‘Plugins’. Er Eventer ikke på listen, er du ikke påvirket af denne sårbarhed.
Kan vores hjemmeside allerede være hacket?
Det er muligt, især hvis pluginnet har været installeret i en periode. Tegn på kompromittering kan være: ukendte administratorbrugere, ændret indhold på hjemmesiden, omdirigeringer til fremmede sider eller advarsler fra Google. Kontakt en cybersikkerhedsekspert eller din webmaster, hvis du er i tvivl — de kan gennemgå logfiler og databasen for spor.
Er vi påvirket, hvis vi ikke bruger PHP 7.4?
Ifølge NVD’s beskrivelse virker selve adgangskode-nulstillingsfunktionen kun på PHP 7.4 og derunder. Kører du en nyere PHP-version, er risikoen reduceret — men det anbefales stadig at opdatere pluginnet, da den underliggende fejl med ukrypteret lagring af nøglen stadig er til stede i koden.
Hvad er forskellen på CVE-2026-9701 og CVE-2026-9700?
CVE-2026-9700 er en separat SQL-injektionsfejl i samme Eventer-plugin. SQL-injektion betyder, at en angriber kan sende skadelige kommandoer direkte til din database. CVE-2026-9701 er den fejl, der gemmer nulstillingsnøglen usikkert. De to fejl bruges typisk i kombination: CVE-2026-9700 bruges til at hente nøglen fra databasen, og CVE-2026-9701 bruges til at skifte adgangskoden. Begge bør patches.
Hvad betyder 'klartekst', og hvorfor er det farligt?
Klartekst (engelsk: plaintext) betyder, at oplysningen er gemt i læsbar form — altså ikke krypteret eller skjult. En adgangskode gemt som klartekst kan læses direkte af enhver med adgang til databasen, ligesom en seddel med pinkoden til dit betalingskort. Normalt bør følsomme nøgler og kodeord altid krypteres eller ‘hashes’, så de ikke kan bruges selv hvis databasen kompromitteres.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Eventer plugin for WordPress is vulnerable to an insecure password reset mechanism in all versions up to, and including, 4.4.2. The plugin stores a plaintext copy of the password reset key in the `eventer_verification_code` user meta field when a user requests a password reset. The plaintext key stored in `wp_usermeta` can be used with the plugin’s custom reset action to set a new password for any user. Combined with another vulnerability such as SQL Injection (CVE-2026-9700), this makes it possible for unauthenticated attackers to extract the plaintext reset key and take over any user account, including administrators. Note: The password reset function only works up to PHP version 7.4.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
