The User Registration & Membership plugin for WordPress is vulnerable to Missing Authorization in all versions up to, and including, 5.1.5. This is due to the is_admin_creation_process() method relying solely on the presence of action=createuser in the $_REQUEST superglobal without performing any authentication or capability check. This makes it possible for unauthenticated attackers to bypass the admin approval requirement when registering new accounts via the fallback submission path.
The User Registration & Membership WordPress plugin versions up to 5.1.5 contains a missing authorization vulnerability allowing unauthenticated attackers to bypass admin approval during user registration. Attackers can exploit the is_admin_creation_process() method which only checks for a request parameter without verifying user authentication or capabilities.
تحتوي إضافة User Registration & Membership في WordPress على ثغرة في التحقق من الصلاحيات تسمح للمهاجمين غير المصرحين بتجاوز متطلب موافقة المسؤول عند تسجيل حسابات جديدة. تعتمد الطريقة is_admin_creation_process() فقط على وجود معامل action=createuser في متغير $_REQUEST دون إجراء أي فحص للمصادقة أو الصلاحيات. يمكن للمهاجمين استغلال مسار التقديم البديل لإنشاء حسابات مستخدم دون الحصول على موافقة المسؤول.
The User Registration & Membership WordPress plugin versions up to 5.1.5 contains a missing authorization vulnerability allowing unauthenticated attackers to bypass admin approval during user registration. Attackers can exploit the is_admin_creation_process() method which only checks for a request parameter without verifying user authentication or capabilities.
Update the User Registration & Membership plugin to version 5.1.6 or later immediately. Implement proper authentication and capability checks in the is_admin_creation_process() method. Review user registration logs for unauthorized account creation and remove suspicious accounts. Consider implementing additional CAPTCHA or email verification requirements.
قم بتحديث إضافة User Registration & Membership إلى الإصدار 5.1.6 أو أحدث فوراً. تطبيق فحوصات المصادقة والصلاحيات المناسبة في طريقة is_admin_creation_process(). مراجعة سجلات تسجيل المستخدمين للبحث عن إنشاء حسابات غير مصرح بها وحذف الحسابات المريبة. النظر في تطبيق متطلبات CAPTCHA أو التحقق من البريد الإلكتروني الإضافية.