Vulnerabilities ›

CVE-2026-6145

Medium

CWE-862 — Weakness Type

                    Published: May 14, 2026                      ·  Modified: May 17, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

The User Registration & Membership plugin for WordPress is vulnerable to Missing Authorization in all versions up to, and including, 5.1.5. This is due to the is_admin_creation_process() method relying solely on the presence of action=createuser in the $_REQUEST superglobal without performing any authentication or capability check. This makes it possible for unauthenticated attackers to bypass the admin approval requirement when registering new accounts via the fallback submission path.

🤖 AI Executive Summary

The User Registration & Membership WordPress plugin versions up to 5.1.5 contains a missing authorization vulnerability allowing unauthenticated attackers to bypass admin approval during user registration. Attackers can exploit the is_admin_creation_process() method which only checks for a request parameter without verifying user authentication or capabilities.

📄 Description (Arabic)

تحتوي إضافة User Registration & Membership في WordPress على ثغرة في التحقق من الصلاحيات تسمح للمهاجمين غير المصرحين بتجاوز متطلب موافقة المسؤول عند تسجيل حسابات جديدة. تعتمد الطريقة is_admin_creation_process() فقط على وجود معامل action=createuser في متغير $_REQUEST دون إجراء أي فحص للمصادقة أو الصلاحيات. يمكن للمهاجمين استغلال مسار التقديم البديل لإنشاء حسابات مستخدم دون الحصول على موافقة المسؤول.

🤖 ملخص تنفيذي (AI)

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 03:22

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare telecom

🎯 MITRE ATT&CK Techniques

T1078.001 T1078.002 T1136.001

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update the User Registration & Membership plugin to version 5.1.6 or later immediately. Implement proper authentication and capability checks in the is_admin_creation_process() method. Review user registration logs for unauthorized account creation and remove suspicious accounts. Consider implementing additional CAPTCHA or email verification requirements.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة User Registration & Membership إلى الإصدار 5.1.6 أو أحدث فوراً. تطبيق فحوصات المصادقة والصلاحيات المناسبة في طريقة is_admin_creation_process(). مراجعة سجلات تسجيل المستخدمين للبحث عن إنشاء حسابات غير مصرح بها وحذف الحسابات المريبة. النظر في تطبيق متطلبات CAPTCHA أو التحقق من البريد الإلكتروني الإضافية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 References & Sources 2

🔗

https://plugins.trac.wordpress.org/changeset/3516468/user-registration/trunk/includes/c...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/b6b349f2-24c9-4921-bb5f-a7726...

security@wordfence.com

📊 CVSS Score

5.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.3

CWECWE-862

EPSS0.14%

Exploit No

Patch ✗ No

Published 2026-05-14

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6145

Introduce Yourself

Sign In Required