CVE-2026-12165
Alvorlig

CVE-2026-12165: Contest Gallery WordPress-sårbarhed

WordPress-plugin Contest Gallery lader angribere med begrænsede rettigheder opgradere sig selv til administrator.

CVSS Score
8.8
Offentliggjort
17/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

En fejl i WordPress-pluginet Contest Gallery gør det muligt for en bruger med begrænsede rettigheder at give sig selv fuld administratoradgang til din hjemmeside. Problemet skyldes, at pluginet ikke tjekker ordentligt, om en bruger har lov til at ændre vigtige indstillinger. En angriber kan ændre en skjult indstilling, så den næste konto der registrerer sig via Google-login, automatisk får administratorrettigheder. Fejlen findes i alle versioner op til og med 30.0.2 og er klassificeret som en rettighedseskaleringssårbarhed (privilege escalation) — det vil sige at en bruger kan hæve sine egne adgangsniveauer uden tilladelse.

Hvem rammer det?

Du er i risikogruppen, hvis din WordPress-hjemmeside:

  • Bruger pluginet Contest Gallery i version 30.0.2 eller ældre.
  • Tillader brugertilmelding — fx via Google-login eller almindelig registrering.
  • Har brugere med rolle-niveau Forfatter (Author) eller højere, som du ikke kender eller stoler fuldt ud på.

Det er typisk webshops, foreningssider, mediebureauer og virksomheder med fotokonkurrencer eller brugergenereret indhold, der bruger dette plugin.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende:

  • Overtage hele din hjemmeside ved at give sig selv fuld administratoradgang.
  • Stjæle data — herunder kundeoplysninger, betalingsdata og private indhold.
  • Installere ondsindet kode (malware) på din side, som kan skade dine besøgende.
  • Slette eller ændre indhold, låse dig ude af din egen side eller bruge siden til at sende spam og phishing.
  • Misbruge betalingsintegrationer (PayPal/Stripe) til svindel, hvis pluginets betalingsfunktioner er aktive.

Konsekvenserne kan være alvorlige — både økonomisk og omdømmemæssigt.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.8 ud af 10 (Alvorlig) på den internationale CVSS-skala. Det er en høj score, fordi:

  • Angrebet kan udføres over internettet uden fysisk adgang.
  • Det kræver kun en almindelig brugerkonto (fx forfatterrolle) — ikke særlige privilegier.
  • Der kræves ingen hjælp fra offeret — angriberen handler alene.
  • Angriberen opnår fuld kontrol over fortrolighed, integritet og tilgængelighed af din hjemmeside.

Den eneste begrænsende faktor er, at angriberen skal have en eksisterende konto på din side. Tillader du fri brugerregistrering, er barrieren minimal.

Hvad gør jeg nu?

Du bør handle hurtigt. Følg disse trin for at beskytte din hjemmeside:

  1. Opdatér Contest Gallery-pluginet straks til en version efter 30.0.2, så snart en sikkerhedsopdatering er tilgængelig fra udvikleren.
  2. Deaktivér pluginet midlertidigt, hvis ingen opdatering er tilgængelig endnu — det er bedre at have en ikke-fungerende konkurrencefunktion end en kompromitteret hjemmeside.
  3. Gennemgå dine administrator-konti i WordPress (under Brugere → Alle brugere) og slet eller degradér mistænkelige konti, du ikke genkender.
  4. Deaktivér Google-login og fri brugerregistrering midlertidigt, hvis du ikke har strengt brug for det (Indstillinger → Generelt → Medlemskab).
  5. Begræns brugeroprettelse så kun betroede personer kan få konti med forfatter-niveau eller højere.
  6. Kontakt din webmaster eller IT-ansvarlige og bed dem gennemgå adgangslogge for mistænkelig aktivitet.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Auroa anbefaler, at du deaktiverer Contest Gallery-pluginet øjeblikkeligt, hvis du ikke kan opdatere det til en patchet version. Gennemgå herefter alle brugerkonti på din hjemmeside og fjern dem, du ikke genkender — særligt konti med administratorrettigheder oprettet for nylig. Sørg for at lukke for fri brugerregistrering og Google-login, indtil en officiel sikkerhedsopdatering er udgivet og installeret. Har du brug for hjælp til at vurdere, om din side er blevet kompromitteret, er du altid velkommen til at kontakte os.

Tidslinje

17/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2026-12165 blev officielt registreret og offentliggjort i den nationale sårbarhedsdatabase (NVD). Fra dette tidspunkt er fejlens tekniske detaljer tilgængelige for alle — inklusive potentielle angribere.
17/06/2026
Tekniske detaljer offentligt tilgængelige
Den fulde tekniske beskrivelse af angrebet — herunder hvilken parameter der misbruges og hvilken kodefil der er sårbar — er offentliggjort. Det øger risikoen for, at proof-of-concept eksploits (testangreb) hurtigt dukker op online.
18/06/2026
Forventet proof-of-concept tilgængelig
Baseret på sårbarheden tekniske enkelhed og detaljeringsniveauet i offentliggørelsen forventes det, at sikkerhedsforskere og angribere inden for kort tid publicerer fungerende eksempelangreb. Dette hæver risikoniveauet markant for upatchede sider.
09/07/2026
Afventer sikkerhedsopdatering fra udvikleren
En officiel patch fra Contest Gallery-udvikleren er endnu ikke bekræftet udgivet. Hold øje med WordPress plugin-kataloget og udviklernes kommunikationskanaler for opdateringer. Auroa opdaterer denne side, når en patch er tilgængelig.

Konkrete eksempler

Angriberen opgraderer sin egen Google-konto til administrator

En angriber opretter en forfatter-konto på din WordPress-side — fx via en åben brugerregistrering. Via Contest Gallery-pluginets adminside, som forfattere har adgang til, ændrer angriberen indstillingen ‘RegistryUserRole’ til ‘administrator’. Herefter logger angriberen ind med en Google-konto for første gang via pluginets Google-login funktion. Systemet læser den forgiftede indstilling og tildeler automatisk den nye Google-konto fuld administratorrettighed — uden nogen advarsel til dig som sideejeren.

Konkurrent eller utilfreds medarbejder overtager virksomhedens hjemmeside

En tidligere medarbejder med en gammel forfatterkonto på din hjemmeside udnytter sårbarhedens til at ændre plugin-indstillingerne. Han opretter derefter en ny Google-konto og registrerer sig på siden — og modtager øjeblikkeligt administratoradgang. Herfra kan han ændre priser i din webshop, slette indhold, låse dig ude ved at ændre din adgangskode eller eksportere kundedata.

Automatiseret massescanning finder sårbare WordPress-sider

Automatiserede hackingværktøjer scanner løbende internettet for kendte WordPress-sårbarheder. Når CVE-2026-12165 er offentliggjort, vil sådanne scannere identificere sider der kører Contest Gallery. En angriber bag et sådant system kan derefter masseangribe hundredvis af sider automatisk — inklusiv din — ved at registrere brugerkonti og udnytte fejlen programmatisk, uden at du opdager det, før skaden er sket.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-269

Original NVD-beskrivelse (engelsk)

The Contest Gallery – Upload & Vote Photos, Media, Sell with PayPal & Stripe plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 30.0.2 via the `RegistryUserRole` parameter. This is due to the plugin’s admin menu being registered at the `edit_posts` capability level — granting Contributor-level users access to the plugin’s admin pages and a valid `cg_admin` nonce — while the option-saving handler in `change-options-and-sizes.php` performs no `current_user_can()` capability check beyond `check_admin_referer(‘cg_admin’)`, and the `RegistryUserRole` value is processed only through `sanitize_text_field()` and `htmlentities()` without restriction to an allowlist of permitted role names. This makes it possible for authenticated attackers, with author-level access and above, to overwrite the plugin’s stored `RegistryUserRole` option with `administrator`, which the `cg_create_wp_user_from_google_user` function then reads back from the `contest_gal1ery_registry_and_login_options` database table without any allowlist validation and passes directly to `wp_update_user()`, effectively promoting a newly registered Google sign-in account to Administrator.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-12165
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.