CVE-2026-12407: Kritisk fejl i WordPress E2Pdf-plugin
WordPress-plugin E2Pdf lader brugere med lav adgang overtage hele hjemmesiden ved at ændre skjulte systemindstillinger.
Hvad er det?
WordPress-pluginnet E2Pdf – Export Pdf Tool (version 1.32.26 og tidligere) har en fejl i sin adgangskontrol. En funktion i pluginnet, der håndterer skærmindstillinger, mangler en korrekt kontrol af, om brugeren har lov til at foretage ændringer. Det betyder, at en angriber kan sende en særlig forespørgsel til hjemmesiden og overskrive WordPress-systemindstillinger — herunder hvilken rolle nye brugere automatisk får tildelt. Det kan bruges til at give sig selv administratoradgang. Fejltypen hedder teknisk Missing Authorization (manglende autorisationstjek), og den er registreret som CVE-2026-12407 med en CVSS-score på 8.8 ud af 10.
Hvem rammer det?
Sårbarheden rammer alle WordPress-hjemmesider, der kører E2Pdf-pluginnet i version 1.32.26 eller tidligere, og hvor en administrator har givet én eller flere brugere rettigheden e2pdf_templates via pluginnets eget rettighedsstyringspanel. Det er særligt relevant, hvis din hjemmeside har:
- Abonnenter, bidragydere, forfattere eller redaktører med adgang til E2Pdf-funktioner
- Et webshop- eller medlemssite, hvor mange brugere kan oprette sig selv
- En opsætning med flere medarbejdere eller freelancere med begrænset adgang
Har ingen andre end administratorer adgang til pluginnet, er risikoen lavere — men du bør stadig opdatere.
Hvad kan ske?
En angriber, der har en brugerkonto på din hjemmeside og er tildelt den nævnte rettighed, kan:
- Eskalere sine egne rettigheder til administrator — eksempelvis ved at ændre indstillingen for standardrolle, så nye brugere automatisk oprettes som administratorer
- Overtage hele hjemmesiden — med administratoradgang kan angriberen installere malware, oprette bagdøre, stjæle kundedata eller slette indhold
- Ændre andre kritiske systemindstillinger — da der ikke er nogen begrænsning på hvilke WordPress-indstillinger der kan overskrives
Angrebet kræver, at angriberen allerede har en brugerkonto og den specifikke rettighed. Det lyder begrænset, men i praksis kan selv en utilfreds tidligere medarbejder eller en kompromitteret medarbejderkonto udgøre en reel trussel.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.8 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Det skyldes:
- Angrebet kan udføres over internettet uden fysisk adgang
- Det kræver kun et lavt rettighedsniveau — altså en almindelig brugerkonto
- Angrebet er nemt at udføre og kræver ingen særlig teknisk ekspertise
- Konsekvensen er fuld kontrol over fortrolighed, integritet og tilgængelighed af din hjemmeside
Det eneste, der forhindrer karakteren i at være endnu højere, er, at angriberen skal have en eksisterende brugerkonto med en specifik rettighed.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — gerne inden for de næste 24-48 timer:
- Opdater E2Pdf-pluginnet til den nyeste version via WordPress-dashboardet under Plugins → Tilgængelige opdateringer.
- Gennemgå brugerroller: Gå til E2Pdf’s rettighedspanel og fjern rettigheden e2pdf_templates fra alle roller, der ikke har et reelt behov for den — særligt Abonnent, Bidragyder og Forfatter.
- Tjek WordPress-brugerlistens roller under Brugere i dashboardet. Er der nogen, der uventet er blevet administrator? Nedgrader dem øjeblikkeligt og skift adgangskoder.
- Kontrollér indstillingen for standardrolle under Indstillinger → Generelt → Ny brugers standardrolle — den bør typisk stå på Abonnent, ikke Administrator.
- Gennemgå aktivitetsloggen (hvis du har et logningsplugin) for mistænkelig aktivitet de seneste uger.
Opdater inden 48 timer
Opdater E2Pdf-pluginnet til den nyeste version hurtigst muligt — det er den eneste sikre løsning. Kombinér opdateringen med en gennemgang af, hvilke brugere der har adgang til pluginnets funktioner, og begræns det til et absolut minimum. Hos Auroa anbefaler vi altid princippet om mindste privilegium: brugere skal kun have de rettigheder, de har et konkret og dokumenteret behov for. Har du brug for hjælp til at gennemgå din WordPress-sikkerhed, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Tidligere medarbejder eskalerer sine rettigheder
En tidligere freelance-tekstforfatter har stadig en aktiv brugerkonto på din WordPress-hjemmeside med rollen Forfatter og adgang til E2Pdf. Han ved, at pluginnet har en fejl, og sender en særlig forespørgsel til hjemmesiden, der ændrer WordPress-indstillingen for standardrolle til Administrator. Derefter opretter han en ny brugerkonto — den får automatisk administratorrettigheder. Nu har han fuld adgang til hjemmesiden og kan eksportere kundedata, installere malware eller låse dig ude.
Kompromitteret medarbejderkonto bruges som springbræt
En hacker har fået fat i loginoplysningerne til en af dine medarbejderes WordPress-konti — måske via et phishing-angreb. Medarbejderen har rollen Redaktør med E2Pdf-rettigheder. Hackeren bruger den kompromitterede konto til at overskrive WordPress’ default_role-indstilling og opretter derefter sin egen administratorkonto. Herefter installerer hackeren et skjult bagdørsplugin, som giver ham vedvarende adgang til hjemmesiden — også efter at medarbejderens adgangskode er skiftet.
Automatiseret masseangreb via sårbarhedsscanner
Kriminelle bruger automatiserede værktøjer til at scanne internettet for WordPress-sider, der kører sårbare versioner af E2Pdf. Finder de din hjemmeside, opretter de en gratis konto (hvis din side tillader brugerregistrering), tildeler sig selv rettigheder via pluginnets fejl og eskalerer til administrator — alt sammen uden menneskelig indgriben. Denne type angreb sker typisk inden for dage efter at en CVE er offentliggjort.
Ofte stillede spørgsmål
Kan jeg se, om nogen allerede har udnyttet sårbarheden på min hjemmeside?
Det kan du delvist. Tjek listen over administratorbrugere under Brugere i WordPress-dashboardet og se, om der er nogen, du ikke genkender. Har du et aktivitetslogningsplugin (f.eks. WP Activity Log), kan du søge efter ændringer i WordPress-indstillinger. Ser du ændringer i indstillingen default_role eller lignende systemindstillinger, bør du kontakte en it-sikkerhedsekspert med det samme.
Er jeg i fare, hvis jeg ikke har givet nogen brugere e2pdf_templates-rettigheden?
Risikoen er markant lavere, hvis kun administratorer har adgang til E2Pdf-funktionerne. Du bør dog stadig opdatere pluginnet — dels for at lukke hullet permanent, dels fordi rettigheder kan være sat uden du er klar over det, eksempelvis hvis en tidligere administrator konfigurerede pluginnet.
Skal jeg afinstallere E2Pdf-pluginnet?
Det er som udgangspunkt ikke nødvendigt. Opdater til den nyeste version og begræns adgangen til pluginnets funktioner. Afinstallation kan dog overvejes, hvis du ikke aktivt bruger pluginnet — det er generelt god praksis ikke at have unødvendige plugins installeret, da hvert plugin er en potentiel angrebsoverflade.
Hvad er CVSS-scoren 8.8, og hvad betyder den i praksis?
CVSS (Common Vulnerability Scoring System) er en international skala fra 0 til 10, der beskriver, hvor alvorlig en sårbarhed er. En score på 8.8 kategoriseres som Alvorlig og betyder, at sårbarheden er relativt nem at udnytte og kan have store konsekvenser. Det er ikke det absolut højeste niveau (det kræver 9.0+), men det er alvorligt nok til, at du bør handle hurtigt.
Gælder dette kun for WordPress?
Ja, denne sårbarhed er specifik for WordPress-pluginnet E2Pdf. Bruger du ikke WordPress eller ikke har dette plugin installeret, er du ikke berørt. Bruger du E2Pdf på flere hjemmesider, skal du opdatere dem alle.
Hvad er en 'Missing Authorization'-fejl?
En Missing Authorization-fejl (manglende autorisationstjek) opstår, når et program ikke tjekker grundigt nok, om en bruger faktisk har lov til at udføre en bestemt handling. I dette tilfælde mangler pluginnet et tjek i en specifik funktion, der håndterer skærmindstillinger — og det giver angriberen mulighed for at snige sig forbi adgangsbegrænsningerne og ændre systemindstillinger, som de normalt ikke måtte røre.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The E2Pdf – Export Pdf Tool for WordPress plugin for WordPress is vulnerable to Missing Authorization in versions up to, and including, 1.32.26. This is due to the screen_action() function lacking a dedicated capability check and nonce verification — when invoked via the ?action=screen routing path the controller’s index_action() nonce gate is bypassed entirely — while reading an attacker-controlled option name and value from $_POST[‘wp_screen_options’] and passing them directly to update_option() with no allowlist, relying solely on the page-level e2pdf_templates capability which the plugin’s own Permissions UI allows administrators to grant to any role including Subscriber, Contributor, Author, or Editor. This makes it possible for authenticated attackers, with a custom role that has been granted the e2pdf_templates capability, to overwrite arbitrary WordPress options such as default_role and thereby escalate their privileges to administrator.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
