CVE-2026-11551: Kritisk fejl i WordPress Branda-plugin
Kritisk fejl i WordPress-plugin ‘Branda’ lader hackere overtage administratorkonti uden login.
Hvad er det?
WordPress-pluginnet Branda (bruges til at tilpasse udseendet af dit WordPress-site) har en alvorlig fejl i op til og med version 3.4.29. Fejlen betyder, at systemet ikke tjekker, om den person, der beder om at skifte adgangskode, faktisk er den rigtige bruger. Det giver en angriber mulighed for at nulstille adgangskoden på en hvilken som helst konto — herunder administratorkonti — uden at være logget ind i forvejen. Teknisk set er der tale om en svag identitetsvalidering ved adgangskodeskift (CWE-640), hvilket er en klassisk men alvorlig designfejl.
Hvem rammer det?
Fejlen rammer alle, der driver et WordPress-website med Branda-pluginnet installeret i version 3.4.29 eller tidligere. Det gælder typisk:
- Virksomheder med en WordPress-hjemmeside eller webshop
- Bureauer og freelancere, der administrerer WordPress-sites for kunder
- Organisationer, der bruger WordPress som intranet eller medlemsportal
Er Branda-pluginnet aktivt på dit site, er du potentielt sårbar, uanset om du er en lille virksomhed eller en større organisation.
Hvad kan ske?
En angriber behøver ingen adgangskode eller særlige rettigheder for at udnytte fejlen. I praksis kan det betyde:
- Fuld overtagelse af dit WordPress-site — angriberen logger ind som administrator og kan gøre, hvad han vil
- Installation af skadelig kode (malware) på dit website, som kan inficere dine besøgendes computere
- Tyveri af kundedata og personoplysninger gemt i WordPress-databasen
- Defacement — dit website udskiftes med angriber-indhold, fx politiske budskaber eller svindelsider
- SEO-spam — usynlige links indlejres på dit site, som skader dit Google-omdømme
Hvor alvorligt er det?
Denne sårbarhed er vurderet til 9.8 ud af 10 (Kritisk) af det internationale klassificeringssystem CVSS. Det er så højt, som det næsten kan blive. Årsagen til den høje score er, at:
- Angrebet kan udføres over internettet uden fysisk adgang
- Det kræver ingen forudgående login eller særlige rettigheder
- Det kræver ingen interaktion fra dig som bruger (fx at du klikker på noget)
- Konsekvenserne rammer fuldt ud: fortrolighed, integritet og tilgængelighed af dit site er alle kompromitteret
Kort sagt: enhver med internetadgang kan potentielt overtage dit website fuldstændigt.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — helst inden for 24 timer:
- Tjek om Branda er installeret: Log ind på dit WordPress-dashboard, gå til ‘Plugins’ og søg efter ‘Branda’. Notér versionsnummeret.
- Opdatér pluginnet straks: Klik på ‘Opdatér nu’ ved siden af Branda, eller gå til Plugins → Tilgængelige opdateringer. Opdatér til en version nyere end 3.4.29.
- Tjek dine administratorkonti: Gå til Brugere → Alle brugere, og se om der er oprettet ukendte konti med administratorrettigheder. Slet dem med det samme.
- Skift adgangskoder på alle administratorkonti: Selv efter opdatering bør du sikre, at eksisterende adgangskoder er stærke og unikke.
- Gennemgå logfiler: Bed din webhost eller it-partner om at tjekke serverlogfiler for mistænkelig aktivitet siden 20. juni 2026.
- Overvej to-faktor-godkendelse (2FA): Aktivér 2FA på alle WordPress-administratorkonti som ekstra sikkerhedslag fremover.
Opdatér inden for 24 timer
Opdatér Branda-pluginnet øjeblikkeligt til den nyeste version — det er den eneste effektive løsning. Har du ikke mulighed for at opdatere med det samme, bør du deaktivere pluginnet midlertidigt, indtil opdateringen kan gennemføres. Vi anbefaler desuden, at du fremover opsætter automatiske opdateringer af WordPress-plugins eller tilmelder dig en overvågningsservice, der advarer dig om kritiske sikkerhedsopdateringer. Kontakt os, hvis du har brug for hjælp til at verificere, om dit site har været kompromitteret.
Tidslinje
Konkrete eksempler
Angriber overtager webshop-administrator
En angriber finder via automatisk scanning frem til en dansk webshop, der kører Branda version 3.4.29. Ved at sende en særligt udformet anmodning til WordPress-sitet nulstiller angriberen adgangskoden på butikkens administratorkonto uden at kende den originale adgangskode. Angriberen logger nu ind som administrator og eksporterer alle kundeoplysninger — navne, adresser og ordrehistorik — til eget brug.
Malware-installation på virksomhedens hjemmeside
En angriber udnytter fejlen til at få administratoradgang til en rådgivningsvirksomheds WordPress-site. Herefter installerer angriberen et skjult plugin, der indlejrer ondsindet kode på alle undersider. Besøgende på virksomhedens hjemmeside udsættes nu for forsøg på at installere malware på deres computere, uden at hverken virksomheden eller de besøgende er klar over det.
SEO-kapring og omdømmeskade
Via adgangskodeovertag-fejlen skaber en angriber en ny skjult administratorkonto på en forenings WordPress-site og indsætter hundredvis af usynlige spam-links til gambling- og medicinsider i sidens kildekode. Google opdager de manipulerede sider og markerer sitet som mistænkeligt, hvilket medfører markant fald i synlighed på Google og potentiel advarsel til besøgende om, at siden er farlig.
Ofte stillede spørgsmål
Hvordan ved jeg, om mit site er blevet angrebet?
Tegn på et angreb kan være: ukendte administratorbrugere i WordPress, ændringer i sideindhold du ikke har lavet, dit site omdirigerer pludselig til andre sider, eller din webhost har sendt en advarsel. Du kan også bede din it-partner om at gennemgå serverlogfiler for mistænkelig loginaktivitet efter den 20. juni 2026.
Hvad er Branda-pluginnet, og behøver jeg det?
Branda er et WordPress-plugin fra WPMU DEV, der bruges til at tilpasse og ‘white-label’ dit WordPress-sites udseende — fx skifte logoer, farver og tekster i adminpanelet. Vurdér om du aktivt bruger det. Hvis ikke, kan du med fordel afinstallere det helt, hvilket eliminerer risikoen.
Er det nok at deaktivere pluginnet uden at opdatere?
Midlertidigt ja — et deaktiveret plugin kan ikke udnyttes aktivt. Men det er ikke en permanent løsning. Du bør snarest opdatere til en sikret version og derefter genaktivere det, hvis du har brug for det. Alternativt kan du afinstallere det helt, hvis du ikke bruger funktionerne.
Gælder sårbarheden kun for WordPress.com-sites?
Nej. Sårbarheden gælder alle WordPress-installationer (typisk WordPress.org, selvhostet), hvor Branda-pluginnet er installeret i version 3.4.29 eller tidligere. Det gælder uanset, om dit site ligger hos et dansk webhotel, en international udbyder eller på egne servere.
Hvad koster det at få hjælp til dette?
En simpel pluginopdatering kan de fleste selv klare på få minutter via WordPress-dashboardet. Har du brug for en gennemgang af om dit site allerede er kompromitteret, eller ønsker du hjælp til at styrke sikkerheden generelt, er du velkommen til at kontakte os for en uforpligtende snak om mulighederne.
Påvirker det min GDPR-overholdelse, hvis angrebet allerede er sket?
Potentielt ja. Hvis personoplysninger om kunder eller medarbejdere har været tilgængelige for uvedkommende, kan det udgøre et brud på persondatasikkerheden (GDPR artikel 33). I så fald skal du som udgangspunkt anmelde hændelsen til Datatilsynet inden for 72 timer. Kontakt din dataansvarlige eller en juridisk rådgiver, hvis du er i tvivl.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Branda plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 3.4.29. This is due to the plugin not properly validating a user’s identity prior to updating their password. This makes it possible for unauthenticated attackers to change arbitrary user’s passwords, including administrators, and leverage that to gain access to their account.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
