CVE-2026-11551
Kritisk

CVE-2026-11551: Kritisk fejl i WordPress Branda-plugin

Kritisk fejl i WordPress-plugin ‘Branda’ lader hackere overtage administratorkonti uden login.

CVSS Score
9.8
Offentliggjort
20/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24 timer

Hvad er det?

WordPress-pluginnet Branda (bruges til at tilpasse udseendet af dit WordPress-site) har en alvorlig fejl i op til og med version 3.4.29. Fejlen betyder, at systemet ikke tjekker, om den person, der beder om at skifte adgangskode, faktisk er den rigtige bruger. Det giver en angriber mulighed for at nulstille adgangskoden på en hvilken som helst konto — herunder administratorkonti — uden at være logget ind i forvejen. Teknisk set er der tale om en svag identitetsvalidering ved adgangskodeskift (CWE-640), hvilket er en klassisk men alvorlig designfejl.

Hvem rammer det?

Fejlen rammer alle, der driver et WordPress-website med Branda-pluginnet installeret i version 3.4.29 eller tidligere. Det gælder typisk:

  • Virksomheder med en WordPress-hjemmeside eller webshop
  • Bureauer og freelancere, der administrerer WordPress-sites for kunder
  • Organisationer, der bruger WordPress som intranet eller medlemsportal

Er Branda-pluginnet aktivt på dit site, er du potentielt sårbar, uanset om du er en lille virksomhed eller en større organisation.

Hvad kan ske?

En angriber behøver ingen adgangskode eller særlige rettigheder for at udnytte fejlen. I praksis kan det betyde:

  • Fuld overtagelse af dit WordPress-site — angriberen logger ind som administrator og kan gøre, hvad han vil
  • Installation af skadelig kode (malware) på dit website, som kan inficere dine besøgendes computere
  • Tyveri af kundedata og personoplysninger gemt i WordPress-databasen
  • Defacement — dit website udskiftes med angriber-indhold, fx politiske budskaber eller svindelsider
  • SEO-spam — usynlige links indlejres på dit site, som skader dit Google-omdømme

Hvor alvorligt er det?

Denne sårbarhed er vurderet til 9.8 ud af 10 (Kritisk) af det internationale klassificeringssystem CVSS. Det er så højt, som det næsten kan blive. Årsagen til den høje score er, at:

  • Angrebet kan udføres over internettet uden fysisk adgang
  • Det kræver ingen forudgående login eller særlige rettigheder
  • Det kræver ingen interaktion fra dig som bruger (fx at du klikker på noget)
  • Konsekvenserne rammer fuldt ud: fortrolighed, integritet og tilgængelighed af dit site er alle kompromitteret

Kort sagt: enhver med internetadgang kan potentielt overtage dit website fuldstændigt.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — helst inden for 24 timer:

  1. Tjek om Branda er installeret: Log ind på dit WordPress-dashboard, gå til ‘Plugins’ og søg efter ‘Branda’. Notér versionsnummeret.
  2. Opdatér pluginnet straks: Klik på ‘Opdatér nu’ ved siden af Branda, eller gå til Plugins → Tilgængelige opdateringer. Opdatér til en version nyere end 3.4.29.
  3. Tjek dine administratorkonti: Gå til Brugere → Alle brugere, og se om der er oprettet ukendte konti med administratorrettigheder. Slet dem med det samme.
  4. Skift adgangskoder på alle administratorkonti: Selv efter opdatering bør du sikre, at eksisterende adgangskoder er stærke og unikke.
  5. Gennemgå logfiler: Bed din webhost eller it-partner om at tjekke serverlogfiler for mistænkelig aktivitet siden 20. juni 2026.
  6. Overvej to-faktor-godkendelse (2FA): Aktivér 2FA på alle WordPress-administratorkonti som ekstra sikkerhedslag fremover.
Tidsfrist

Opdatér inden for 24 timer

Sådan ser Auroa det

Opdatér Branda-pluginnet øjeblikkeligt til den nyeste version — det er den eneste effektive løsning. Har du ikke mulighed for at opdatere med det samme, bør du deaktivere pluginnet midlertidigt, indtil opdateringen kan gennemføres. Vi anbefaler desuden, at du fremover opsætter automatiske opdateringer af WordPress-plugins eller tilmelder dig en overvågningsservice, der advarer dig om kritiske sikkerhedsopdateringer. Kontakt os, hvis du har brug for hjælp til at verificere, om dit site har været kompromitteret.

Tidslinje

20/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-11551 i Branda-pluginnet til WordPress blev officielt registreret og offentliggjort i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9.8.
20/06/2026
Patch tilgængelig
En opdateret version af Branda-pluginnet, der lukker sårbarheden, blev gjort tilgængelig via WordPress Plugin Directory. Alle brugere af version 3.4.29 og tidligere opfordres til at opdatere øjeblikkeligt.
21/06/2026
Proof-of-concept forventet offentligt
Ved kritiske WordPress-plugin-sårbarheder af denne type offentliggøres tekniske udnyttelseseksempler (proof-of-concept) typisk inden for 24-48 timer efter CVE-offentliggørelse, hvilket øger risikoen markant for ikke-patchede sites.
22/06/2026
Automatiserede angreb forventes
Historisk mønster viser, at angribere begynder automatisk at scanne internettet for sårbare WordPress-sites med upatchede plugins inden for få dage efter offentliggørelse. Sites der ikke er opdateret inden denne dato, løber en betydelig risiko.

Konkrete eksempler

Angriber overtager webshop-administrator

En angriber finder via automatisk scanning frem til en dansk webshop, der kører Branda version 3.4.29. Ved at sende en særligt udformet anmodning til WordPress-sitet nulstiller angriberen adgangskoden på butikkens administratorkonto uden at kende den originale adgangskode. Angriberen logger nu ind som administrator og eksporterer alle kundeoplysninger — navne, adresser og ordrehistorik — til eget brug.

Malware-installation på virksomhedens hjemmeside

En angriber udnytter fejlen til at få administratoradgang til en rådgivningsvirksomheds WordPress-site. Herefter installerer angriberen et skjult plugin, der indlejrer ondsindet kode på alle undersider. Besøgende på virksomhedens hjemmeside udsættes nu for forsøg på at installere malware på deres computere, uden at hverken virksomheden eller de besøgende er klar over det.

SEO-kapring og omdømmeskade

Via adgangskodeovertag-fejlen skaber en angriber en ny skjult administratorkonto på en forenings WordPress-site og indsætter hundredvis af usynlige spam-links til gambling- og medicinsider i sidens kildekode. Google opdager de manipulerede sider og markerer sitet som mistænkeligt, hvilket medfører markant fald i synlighed på Google og potentiel advarsel til besøgende om, at siden er farlig.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-640

Original NVD-beskrivelse (engelsk)

The Branda plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 3.4.29. This is due to the plugin not properly validating a user’s identity prior to updating their password. This makes it possible for unauthenticated attackers to change arbitrary user’s passwords, including administrators, and leverage that to gain access to their account.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-11551
Offentliggjort
20/06/2026
Sidst opdateret
20/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.