CVE-2026-12165: Contest Gallery WordPress-sårbarhed
WordPress-plugin Contest Gallery lader angribere med begrænsede rettigheder opgradere sig selv til administrator.
Hvad er det?
En fejl i WordPress-pluginet Contest Gallery gør det muligt for en bruger med begrænsede rettigheder at give sig selv fuld administratoradgang til din hjemmeside. Problemet skyldes, at pluginet ikke tjekker ordentligt, om en bruger har lov til at ændre vigtige indstillinger. En angriber kan ændre en skjult indstilling, så den næste konto der registrerer sig via Google-login, automatisk får administratorrettigheder. Fejlen findes i alle versioner op til og med 30.0.2 og er klassificeret som en rettighedseskaleringssårbarhed (privilege escalation) — det vil sige at en bruger kan hæve sine egne adgangsniveauer uden tilladelse.
Hvem rammer det?
Du er i risikogruppen, hvis din WordPress-hjemmeside:
- Bruger pluginet Contest Gallery i version 30.0.2 eller ældre.
- Tillader brugertilmelding — fx via Google-login eller almindelig registrering.
- Har brugere med rolle-niveau Forfatter (Author) eller højere, som du ikke kender eller stoler fuldt ud på.
Det er typisk webshops, foreningssider, mediebureauer og virksomheder med fotokonkurrencer eller brugergenereret indhold, der bruger dette plugin.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Overtage hele din hjemmeside ved at give sig selv fuld administratoradgang.
- Stjæle data — herunder kundeoplysninger, betalingsdata og private indhold.
- Installere ondsindet kode (malware) på din side, som kan skade dine besøgende.
- Slette eller ændre indhold, låse dig ude af din egen side eller bruge siden til at sende spam og phishing.
- Misbruge betalingsintegrationer (PayPal/Stripe) til svindel, hvis pluginets betalingsfunktioner er aktive.
Konsekvenserne kan være alvorlige — både økonomisk og omdømmemæssigt.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.8 ud af 10 (Alvorlig) på den internationale CVSS-skala. Det er en høj score, fordi:
- Angrebet kan udføres over internettet uden fysisk adgang.
- Det kræver kun en almindelig brugerkonto (fx forfatterrolle) — ikke særlige privilegier.
- Der kræves ingen hjælp fra offeret — angriberen handler alene.
- Angriberen opnår fuld kontrol over fortrolighed, integritet og tilgængelighed af din hjemmeside.
Den eneste begrænsende faktor er, at angriberen skal have en eksisterende konto på din side. Tillader du fri brugerregistrering, er barrieren minimal.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin for at beskytte din hjemmeside:
- Opdatér Contest Gallery-pluginet straks til en version efter 30.0.2, så snart en sikkerhedsopdatering er tilgængelig fra udvikleren.
- Deaktivér pluginet midlertidigt, hvis ingen opdatering er tilgængelig endnu — det er bedre at have en ikke-fungerende konkurrencefunktion end en kompromitteret hjemmeside.
- Gennemgå dine administrator-konti i WordPress (under Brugere → Alle brugere) og slet eller degradér mistænkelige konti, du ikke genkender.
- Deaktivér Google-login og fri brugerregistrering midlertidigt, hvis du ikke har strengt brug for det (Indstillinger → Generelt → Medlemskab).
- Begræns brugeroprettelse så kun betroede personer kan få konti med forfatter-niveau eller højere.
- Kontakt din webmaster eller IT-ansvarlige og bed dem gennemgå adgangslogge for mistænkelig aktivitet.
Handl inden for 24-48 timer
Auroa anbefaler, at du deaktiverer Contest Gallery-pluginet øjeblikkeligt, hvis du ikke kan opdatere det til en patchet version. Gennemgå herefter alle brugerkonti på din hjemmeside og fjern dem, du ikke genkender — særligt konti med administratorrettigheder oprettet for nylig. Sørg for at lukke for fri brugerregistrering og Google-login, indtil en officiel sikkerhedsopdatering er udgivet og installeret. Har du brug for hjælp til at vurdere, om din side er blevet kompromitteret, er du altid velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Angriberen opgraderer sin egen Google-konto til administrator
En angriber opretter en forfatter-konto på din WordPress-side — fx via en åben brugerregistrering. Via Contest Gallery-pluginets adminside, som forfattere har adgang til, ændrer angriberen indstillingen ‘RegistryUserRole’ til ‘administrator’. Herefter logger angriberen ind med en Google-konto for første gang via pluginets Google-login funktion. Systemet læser den forgiftede indstilling og tildeler automatisk den nye Google-konto fuld administratorrettighed — uden nogen advarsel til dig som sideejeren.
Konkurrent eller utilfreds medarbejder overtager virksomhedens hjemmeside
En tidligere medarbejder med en gammel forfatterkonto på din hjemmeside udnytter sårbarhedens til at ændre plugin-indstillingerne. Han opretter derefter en ny Google-konto og registrerer sig på siden — og modtager øjeblikkeligt administratoradgang. Herfra kan han ændre priser i din webshop, slette indhold, låse dig ude ved at ændre din adgangskode eller eksportere kundedata.
Automatiseret massescanning finder sårbare WordPress-sider
Automatiserede hackingværktøjer scanner løbende internettet for kendte WordPress-sårbarheder. Når CVE-2026-12165 er offentliggjort, vil sådanne scannere identificere sider der kører Contest Gallery. En angriber bag et sådant system kan derefter masseangribe hundredvis af sider automatisk — inklusiv din — ved at registrere brugerkonti og udnytte fejlen programmatisk, uden at du opdager det, før skaden er sket.
Ofte stillede spørgsmål
Skal jeg have teknisk viden for at udnytte denne sårbarhed?
Nej. En angriber behøver blot en almindelig brugerkonto på din WordPress-side (fx som forfatter) og basal kendskab til, hvordan man ændrer en HTTP-forespørgsel. Det kræver ikke avancerede hackerfærdigheder, og der er sandsynligvis allerede vejledninger tilgængelige online, fordi fejlen er offentliggjort.
Hvad hvis jeg ikke bruger Google-login — er jeg stadig i fare?
Delvist. Google-login er den direkte vej til automatisk administrator-oprettelse, men en angriber med eksisterende forfatteradgang kan stadig ændre den kritiske indstilling. Hvis Google-login efterfølgende aktiveres — eller allerede er aktivt — kan konsekvensen blive fuld administratoradgang for en uønsket bruger. Du bør handle uanset om Google-login er slået til.
Hvordan ved jeg om min side allerede er blevet angrebet?
Gå til Brugere → Alle brugere i WordPress og kig efter administratorkonti, du ikke genkender — særligt nyoprettede konti. Kontrollér også adgangslogge i din hostingpanels logfiler for usædvanlig aktivitet. Har du brug for professionel hjælp til at undersøge dette, kan Auroa foretage en sikkerhedsgennemgang af din side.
Er mit plugin automatisk opdateret, hvis jeg har auto-opdatering slået til?
Kun hvis en patchet version allerede er udgivet af plugin-udvikleren og tilgængelig i WordPress-kataloget. Gå til Plugins → Installerede plugins og tjek om der er en tilgængelig opdatering til Contest Gallery. Er der ingen, bør du deaktivere pluginet manuelt, indtil en sikret version udkommer.
Påvirker dette mine betalinger via PayPal eller Stripe?
Indirekte ja. Hvis en angriber opnår administratoradgang via denne sårbarhed, har vedkommende potentielt adgang til alle plugin-indstillinger — herunder betalingskonfigurationer. En angriber kan omdirigere betalinger, se transaktionsoplysninger eller manipulere med konkurrenceindstillinger. Det er en alvorlig risiko, hvis betalingsfunktionerne er aktive på din side.
Gælder dette kun WordPress — hvad med andre platforme?
Ja, denne sårbarhed er udelukkende i WordPress-pluginet Contest Gallery og påvirker ikke andre platforme som Shopify, Squarespace eller lignende. Er din hjemmeside bygget på WordPress og bruger dette plugin, bør du handle nu. Er du i tvivl om hvad din side er bygget på, kan din webmaster eller IT-leverandør hjælpe dig afklare det.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Contest Gallery – Upload & Vote Photos, Media, Sell with PayPal & Stripe plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 30.0.2 via the `RegistryUserRole` parameter. This is due to the plugin’s admin menu being registered at the `edit_posts` capability level — granting Contributor-level users access to the plugin’s admin pages and a valid `cg_admin` nonce — while the option-saving handler in `change-options-and-sizes.php` performs no `current_user_can()` capability check beyond `check_admin_referer(‘cg_admin’)`, and the `RegistryUserRole` value is processed only through `sanitize_text_field()` and `htmlentities()` without restriction to an allowlist of permitted role names. This makes it possible for authenticated attackers, with author-level access and above, to overwrite the plugin’s stored `RegistryUserRole` option with `administrator`, which the `cg_create_wp_user_from_google_user` function then reads back from the `contest_gal1ery_registry_and_login_options` database table without any allowlist validation and passes directly to `wp_update_user()`, effectively promoting a newly registered Google sign-in account to Administrator.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
