CVE-2026-12417
Kritisk

CVE-2026-12417: Kritisk WordPress SignUp Plugin-fejl

WordPress-plugin lader hvem som helst overtage administratorkonti uden adgangskode – patch ikke tilgængelig endnu.

CVSS Score
9.8
Offentliggjort
24/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handle inden for 24 timer

Hvad er det?

CVE-2026-12417 er en kritisk sikkerhedsfejl i WordPress-pluginnet SignUp & SignIn (version 1.0.0 og ældre). Fejlen sidder i den funktion, der håndterer nulstilling af adgangskoder. Funktionen tjekker ikke, om den person, der beder om at skifte adgangskode, er den rigtige bruger. Hvis en bruger aldrig har bedt om en adgangskodsnulstilling, returnerer systemet en tom værdi – og det er nok til, at en angriber kan sende en tom kode og få adgang. Resultatet er, at en fuldstændig ukendt person udefra kan sætte en ny adgangskode på hvilken som helst konto på dit WordPress-site, inklusive din administratorkonto.

Hvem rammer det?

Sårbarheden rammer alle WordPress-hjemmesider, der har pluginnet SignUp & SignIn version 1.0.0 eller ældre installeret og aktiveret. Det gælder uanset om din hjemmeside er en webshop, en virksomhedsside eller en blog. Du behøver ikke have gjort noget forkert – fejlen er i selve pluginkoden. Angriberen behøver ingen konto på dit site og kræver ingen særlig teknisk viden for at udnytte fejlen.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende:

  • Overtage din administratorkonto og få fuld kontrol over hele hjemmesiden
  • Installere skadelig kode (malware) eller bagdøre på dit site
  • Stjæle kundedata, herunder e-mailadresser, ordrehistorik og betalingsoplysninger
  • Omdirigere dine besøgende til svindelsider eller phishing-sider
  • Slette eller ændre indhold, hvilket kan skade dit omdømme og din forretning
  • Bruge dit site til at angribe andre – f.eks. som del af et botnet

Hvor alvorligt er det?

Denne sårbarhed har fået den højest mulige CVSS-score på 9,8 ud af 10 (Kritisk). Det skyldes, at angrebet kan udføres over internettet uden særlige tekniske forudsætninger, uden en eksisterende konto og uden, at du eller dine brugere gør noget forkert. Alle tre kerneområder – fortrolighed, integritet og tilgængelighed – er fuldt kompromitteret ved et vellykket angreb. Det er med andre ord en af de mest alvorlige typer fejl, der findes.

Hvad gør jeg nu?

Der er endnu ikke udgivet en officiel opdatering til pluginnet. Følg disse trin hurtigst muligt:

  1. Deaktiver og afinstaller pluginnet SignUp & SignIn med det samme – så længe der ikke foreligger en sikkerhedsopdatering, er det ikke sikkert at have det aktivt på dit site.
  2. Gennemse dine WordPress-brugerkonti – tjek om der er oprettet ukendte administratorkonti. Slet dem straks.
  3. Skift adgangskoder på alle administratorkonti og andre vigtige brugerkonti på dit WordPress-site.
  4. Tjek dine logfiler (eller bed din webudvikler om det) for mistænkelige POST-forespørgsler til admin-ajax.php med parameteren action=pravel_change_password.
  5. Hold øje med pluginudviklerens side for en opdateret version af pluginnet, og installer den straks når den er tilgængelig.
  6. Overvej en sikkerhedsscan af dit site med et WordPress-sikkerhedsplugin (f.eks. Wordfence eller Sucuri) for at opdage eventuel skadelig kode.
Tidsfrist

Handle inden for 24 timer

Sådan ser Auroa det

Auroa anbefaler, at du deaktiverer pluginnet SignUp & SignIn øjeblikkeligt, hvis det er installeret på dit WordPress-site. Da der ikke foreligger en sikkerhedsopdatering, er det den eneste effektive beskyttelse lige nu. Kontakt din webudvikler eller Auroa, hvis du er usikker på, om du er berørt, eller hvis du har brug for hjælp til at undersøge, om dit site allerede er kompromitteret.

Tidslinje

24/06/2026
CVE offentliggjort i NVD
National Vulnerability Database (NVD) offentliggør CVE-2026-12417 med en kritisk CVSS-score på 9,8. Fejlen i SignUp & SignIn-pluginnet beskrives i fuld detalje.
24/06/2026
Proof-of-concept tilgængeligt
Fordi angrebet er ekstremt simpelt at udføre – en enkelt HTTP-forespørgsel er nok – anses proof-of-concept-udnyttelse for at være offentligt tilgængeligt fra offentliggørelsestidspunktet.
24/06/2026
Ingen patch tilgængelig
På offentliggørelsestidspunktet er der ingen opdateret version af pluginnet tilgængelig. Deaktivering og afinstallation er den eneste effektive afhjælpning.

Konkrete eksempler

Angriberen overtager administratorkontoen

En angriber finder dit WordPress-sites bruger-ID for administrator (typisk ID 1) via offentligt tilgængelige metoder. Angriberen sender en enkelt HTTP-forespørgsel til dit sites admin-ajax.php med en tom nulstillingskode og et selvvalgt nyt kodeord. Fordi pluginnet ikke validerer koden, accepteres ændringen. Angriberen logger nu ind som administrator og har fuld kontrol over dit site.

Masseangreb via automatiseret scanning

Hackere bruger automatiserede værktøjer til at scanne tusindvis af WordPress-sites for det sårbare plugin. Sites med pluginnet installeret markeres og angribes automatisk inden for minutter. Din side kan blive kompromitteret, selvom du ikke er et specifikt mål – du er bare ét af mange tilfældigt fundne ofre i et masseangreb.

Kundedatafra en webshop stjæles

En angriber overtager administratorkontoen på en WooCommerce-webshop via denne sårbarhed. Fra dashboardet eksporterer angriberen alle kundeordrer med navne, adresser og e-mailadresser. Disse data kan sælges på det mørke net eller bruges til phishing-angreb mod dine kunder – og du hæfter for bruddet under GDPR.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-640

Original NVD-beskrivelse (engelsk)

The SignUp & SignIn plugin for WordPress is vulnerable to Authentication Bypass via Weak Password Reset Validation leading to Account Takeover in versions up to, and including, 1.0.0. This is due to the `pravel_change_password()` AJAX handler — registered via `wp_ajax_nopriv_pravel_change_password` and therefore accessible to unauthenticated users — performing no nonce verification, no capability check, and only a loose equality check between an attacker-supplied `reset_activation_code` POST parameter and the target user’s `forgot_email` user meta value; when a user has never initiated a password reset, `get_user_meta()` returns an empty string that trivially satisfies this check against an omitted or empty attacker-supplied code. This makes it possible for unauthenticated attackers to change the password of any WordPress user, including administrators, by sending a crafted POST request to `admin-ajax.php` with `action=pravel_change_password`, `reset_user_id` set to the target account’s user ID, and `new_password_custom` set to an attacker-chosen password. Successful exploitation allows the attacker to authenticate with the newly set password and fully take over the targeted account, achieving administrator-level privilege escalation on the affected site.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-12417
Offentliggjort
24/06/2026
Sidst opdateret
24/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handle inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.