Uma falha crítica de segurança foi descoberta no plugin WordPress “User Registration & Membership”, amplamente utilizado em sites com funcionalidades de cadastro e controle de acesso. Catalogada como CVE-2025-2563 e com pontuação CVSS de 9.8, a vulnerabilidade permite que invasores criem contas com privilégios administrativos sem necessidade de autenticação.

O plugin, com mais de 60 mil instalações ativas, oferece recursos como formulários de registro, grupos de membros, áreas restritas, perfis de usuário e sistemas de login personalizados. Por sua popularidade e integração em sites de membros e comunidades, a falha representa um risco elevado de comprometimento em massa de sites WordPress. O problema está na função “prepare_members_data()”, que não impõe restrições adequadas ao tipo de função do usuário durante o cadastro. Isso permite que um invasor crie uma conta com permissões administrativas completas, assumindo o controle total do site afetado.

A vulnerabilidade afeta todas as versões até a 4.1.1. Para mitigar o risco, os desenvolvedores do plugin lançaram a versão 4.1.2, que corrige a falha. Usuários e administradores devem atualizar imediatamente o plugin para proteger seus sites contra ataques. Caso não seja possível aplicar o patch de forma imediata, recomenda-se desabilitar temporariamente novos cadastros ou utilizar plugins de segurança para monitoramento de atividades suspeitas.