CVE-2026-11775: WordPress User Admin Simplifier CSRF
WordPress-plugin ‘User Admin Simplifier’ op til version 3.0.0 kan narre din administrator til at slette brugerkonfigurationer via et forfalsket link.
Hvad er det?
En sårbarhed i WordPress-pluginnet User Admin Simplifier (versioner op til og med 3.0.0) gør det muligt for en angriber at sende et forfalsket link til din hjemmesides administrator. Hvis administratoren klikker på linket, kan pluginnets indstillinger — herunder alle brugeres menu- og adminbjælke-konfigurationer — blive nulstillet og permanent slettet. Problemet skyldes manglende CSRF-beskyttelse (Cross-Site Request Forgery), som normalt forhindrer, at eksterne hjemmesider kan udføre handlinger på din hjemmeside i en brugers navn uden vedkommendes vidende.
Hvem rammer det?
Sårbarheden rammer alle, der driver en WordPress-hjemmeside med pluginnet User Admin Simplifier installeret i version 3.0.0 eller ældre. Det er primært relevant for virksomheder, foreninger og organisationer, der bruger dette plugin til at tilpasse administratorpanelet for deres brugere.
Hvad kan ske?
Hvis en angriber lykkes med angrebet, kan følgende ske:
- Alle gemte menu- og adminbjælke-indstillinger for brugere på din hjemmeside slettes permanent.
- Brugere mister deres tilpassede opsætning i WordPress-adminpanelet og skal konfigurere det forfra.
- Data fortabes, men angriberen får ikke adgang til fortrolige oplysninger eller mulighed for at overtage hjemmesiden fuldstændigt.
Angrebet kræver, at administratoren selv klikker på et link — fx i en e-mail eller på en ekstern hjemmeside.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat alvorlighed med en CVSS-score på 4,3 ud af 10. Angriberen kan ikke stjæle data eller overtage din hjemmeside — kun slette konfigurationsdata. Det kræver desuden, at en administrator aktivt klikker på et forfalsket link, hvilket sænker risikoen yderligere. For de fleste SMV’er udgør dette en begrænset, men reel risiko for driftsforstyrrelse.
Hvad gør jeg nu?
Du bør handle hurtigt for at beskytte din WordPress-hjemmeside. Følg disse trin:
- Tjek om du bruger pluginnet: Log ind på dit WordPress-adminpanel og gå til Plugins. Søg efter ‘User Admin Simplifier’ og tjek versionen.
- Opdatér pluginnet: Hvis du bruger version 3.0.0 eller ældre, skal du opdatere til den nyeste version, der indeholder en rettelse.
- Deaktivér pluginnet midlertidigt: Hvis der endnu ikke er en opdatering tilgængelig, kan du deaktivere pluginnet, indtil en patch er udgivet.
- Advar dine administratorer: Gør dem opmærksomme på ikke at klikke på mistænkelige links i e-mails eller på fremmede hjemmesider.
- Gennemgå andre plugins: Brug lejligheden til at tjekke, om alle dine WordPress-plugins er opdaterede.
Opdatér inden for 1-2 uger
Vi anbefaler, at du opdaterer User Admin Simplifier-pluginnet hurtigst muligt til den nyeste version. Sårbarheden kræver et aktivt klik fra en administrator, men det er en let angrebsvej for en målrettet phishing-mail. Sørg for, at dine administratorer ved, de skal være skeptiske over for links fra ukendte afsendere. Har du brug for hjælp til at gennemgå og opdatere dine WordPress-plugins, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Phishing-mail med forfalsket link
En angriber sender en tilsyneladende harmløs e-mail til din WordPress-administrator — fx forklædt som en meddelelse fra WordPress eller en samarbejdspartner. E-mailen indeholder et link, som i baggrunden sender en anmodning til din hjemmeside og sletter alle brugerkonfigurationer i User Admin Simplifier, idet administratoren er logget ind og klikker på linket.
Ondsindet banner eller annonce på en ekstern hjemmeside
En administrator besøger en ekstern hjemmeside, der indeholder et skjult script eller et forfalsket link. Hvis administratoren er logget ind på WordPress i samme browser, kan scriptet automatisk sende en anmodning til din hjemmeside og nulstille plugin-indstillingerne, uden at administratoren opdager det.
Konkurrent eller utilfreds bruger retter et målrettet angreb
En person med kendskab til din WordPress-opsætning sender et præcist konstrueret link direkte til din administrator via fx LinkedIn eller en intern chatplatform. Formålet er at forstyrre driften ved at slette tilpassede adminpanel-konfigurationer, så brugere og administratorer midlertidigt mister overblikket i backend-systemet.
Ofte stillede spørgsmål
Kan angriberen overtage min hjemmeside med denne sårbarhed?
Nej. Sårbarheden giver kun mulighed for at slette konfigurationsdata for brugere i WordPress-adminpanelet. Angriberen kan hverken stjæle passwords, persondata eller overtage administratoradgang til din hjemmeside.
Skal min administrator gøre noget aktivt for at angrebet lykkes?
Ja. Angrebet kræver, at en administrator klikker på et forfalsket link — fx i en e-mail, en chatbesked eller på en ekstern hjemmeside — mens vedkommende er logget ind på WordPress. Ingen kan udnytte sårbarheden uden dette samspil.
Hvad er et CSRF-angreb?
CSRF (Cross-Site Request Forgery) er en angrebstype, hvor en ondsindet hjemmeside eller et link narrer din browser til at udføre en handling på en anden hjemmeside — i dette tilfælde din WordPress-side — i din administrators navn, uden at administratoren er klar over det.
Hvad sker der med mine brugerdata, hvis angrebet lykkes?
Brugernes gemte menu- og adminbjælke-indstillinger i WordPress slettes permanent. Det betyder, at brugerne skal opsætte deres adminpanel forfra. Ingen fortrolige data som e-mails, passwords eller personoplysninger kompromitteres.
Hvad gør jeg, hvis jeg ikke kan opdatere pluginnet lige nu?
Deaktivér pluginnet midlertidigt via WordPress-adminpanelet under Plugins. Det stopper enhver risiko forbundet med sårbarheden, indtil du kan installere en opdateret version. Din hjemmeside fungerer stadig normalt — blot uden pluginnets tilpasningsmuligheder.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The User Admin Simplifier plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 3.0.0. This is due to missing or incorrect nonce validation on the useradminsimplifier_options_page function. This makes it possible for unauthenticated attackers to reset and permanently delete any user’s stored menu and admin-bar configuration via a forged request that triggers uas_save_admin_options() and overwrites the useradminsimplifier_options database entry via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
