CVE-2026-8607
Moderat

CVE-2026-8607: XSS-sårbarhed i WordPress myCred

Sårbarhed i WordPress-plugin myCred lader angribere med adgang som bidragyder plante skadelig kode på din hjemmeside.

CVSS Score
6.4
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-8607 er en såkaldt Stored Cross-Site Scripting-sårbarhed (XSS) i WordPress-plugin’et myCred, der bruges til point-systemer, badges og loyalitetsprogrammer på hjemmesider. Fejlen skyldes, at plugin’et ikke renser input korrekt, når en bruger anvender en bestemt genvejskode (kaldet en ‘shortcode’) i indhold på siden. Det betyder, at en angriber med selv en begrænset brugerkonto — f.eks. som bidragyder — kan gemme ondsindet JavaScript-kode i din hjemmeside. Denne kode kører automatisk i browseren hos alle, der efterfølgende besøger den berørte side. Alle versioner af myCred op til og med version 3.1 er sårbare.

Hvem rammer det?

Sårbarheden rammer dig, hvis din virksomhed driver en WordPress-hjemmeside med myCred-plugin’et installeret i version 3.1 eller ældre. Det er særligt relevant, hvis din hjemmeside har funktioner som:

  • Point- eller belønningssystemer for kunder eller brugere
  • Loyalitetsprogrammer, badges eller rangsystemer
  • Mulighed for, at eksterne brugere kan oprette indhold (f.eks. bidragydere, forfattere)

Jo flere brugere der kan logge ind og oprette indhold på din side, jo større er risikoen.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne inkludere:

  • Tyveri af login-cookies: Besøgendes sessioner kan kapres, så angriberen overtager deres konti — herunder potentielt administratorkonti.
  • Phishing fra din egen hjemmeside: Angriberen kan vise falske login-formularer eller advarsler direkte på din side for at narre dine besøgende.
  • Spredning af malware: Ondsindet kode kan omdirigere dine besøgende til skadelige hjemmesider eller forsøge at installere virus på deres computere.
  • Skade på omdømme: Kunder og samarbejdspartnere, der rammes via din hjemmeside, kan miste tilliden til din virksomhed.

Hvor alvorligt er det?

Sårbarheden er vurderet til moderat alvor med en CVSS-score på 6,4 ud af 10. Det er ikke den mest kritiske kategori, men den bør tages alvorligt af følgende grunde:

  • Angrebet kan udføres over internettet uden særlige tekniske forudsætninger.
  • En angriber behøver kun en lavprivilegeret konto (f.eks. bidragyder) — det er ikke nødvendigt at være administrator.
  • Den skadelige kode gemmes permanent på din hjemmeside og rammer alle besøgende, indtil den fjernes.
  • Påvirker fortrolighed og integritet af data — dog ikke systemets tilgængelighed direkte.

Hvad gør jeg nu?

Følg disse trin for at beskytte din hjemmeside hurtigst muligt:

  1. Tjek din WordPress-installation: Log ind i dit WordPress-dashboard og gå til ‘Plugins’. Find myCred og notér versionsnummeret.
  2. Opdatér myCred straks: Hvis du kører version 3.1 eller ældre, skal du opdatere plugin’et til den seneste version via ‘Plugins → Tilgængelige opdateringer’.
  3. Gennemgå brugerkonti: Tjek, om der er bidragydere eller forfattere på din side, som du ikke genkender. Fjern eller deaktivér mistænkelige konti.
  4. Begræns hvem der kan oprette indhold: Overvej om alle brugere virkelig har brug for rollen ‘bidragyder’. Tildel kun de rettigheder, der er nødvendige.
  5. Scan din hjemmeside for skadelig kode: Brug et sikkerhedsplugin (f.eks. Wordfence eller Sucuri) til at scanne siden for allerede indsat skadelig kode.
  6. Kontakt din webmaster eller IT-leverandør: Hvis du er i tvivl om noget af ovenstående, så bed din tekniske ansvarlige om hjælp.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du opdaterer myCred-plugin’et til nyeste version hurtigst muligt — gerne inden for den kommende uge. Selvom sårbarheden kræver, at en angriber har en brugerkonto på din side, er det ikke en tilstrækkelig sikkerhed i sig selv. Gennemgå samtidig dine brugerlister og begræns adgangen til kun dem, der har et reelt behov. Hvis du bruger myCred på en hjemmeside med mange brugere eller følsomme kundedata, bør du også overveje at scanne siden for tegn på, at sårbarheden allerede er blevet udnyttet.

Tidslinje

17/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-8607 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database) med en CVSS-score på 6.4 (moderat).
17/06/2026
Berørte versioner identificeret
Alle versioner af myCred op til og med version 3.1 bekræftes sårbare over for Stored XSS via 'wrap' shortcode-attributten.
17/06/2026
Patch tilgængelig
En opdateret version af myCred-plugin'et, der lukker sårbarheden, er tilgængelig via WordPress plugin-biblioteket. Opdatering anbefales straks.

Konkrete eksempler

Kapring af administrator-session

En angriber opretter en gratis brugerkonto på din WordPress-hjemmeside som bidragyder. Via myCred-plugin’ets shortcode indsætter angriberen et skjult JavaScript-script i et blogindlæg eller en side. Når din administrator besøger siden, stjæler scriptet automatisk administratorens login-cookie og sender den til angriberen — som herefter kan overtage din hjemmeside fuldstændigt uden at kende adgangskoden.

Falsk login-formular rammer dine kunder

En angriber med bidragyder-adgang indsætter skadelig kode via myCred-shortcodes i en populær side på din webshop. Koden viser en overbevisende falsk login-popup til alle besøgende kunder. Kunder der indtaster deres brugernavn og adgangskode sender ubevidst deres oplysninger direkte til angriberen, mens de tror, de logger ind på din side som normalt.

Omdirigering til phishing-side

Via den lagrede XSS-sårbarhed indsætter en angriber et script, der automatisk omdirigerer alle besøgende til en ekstern hjemmeside, der efterligner din virksomheds side. Her forsøger angriberen at indsamle betalingsoplysninger eller installere malware på de besøgendes computere. Dine kunder forbinder angrebet med din virksomhed, hvilket skader tilliden alvorligt.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
LOW
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CWE-svaghedstyper

CWE-79

Original NVD-beskrivelse (engelsk)

The Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program – myCred plugin for WordPress is vulnerable to Stored Cross-Site Scripting via ‘wrap’ Shortcode Attribute in all versions up to, and including, 3.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.4
Visning
Hurtige fakta
CVE-ID
CVE-2026-8607
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.