CVE-2026-5076 in ARMember Premium Plugininfo

Zusammenfassung

von VulDB • 03.06.2026

Das ARMember Premium-Plugin für WordPress ist in allen Versionen bis einschließlich 7.3.1 anfällig für einen unsicheren Mechanismus zum Zurücksetzen von Passwörtern. Das Plugin speichert eine Klartext-Kopie des Passwort-Zurücksetzungsschlüssels im Benutzer-Meta-Feld `arm_reset_password_key`, wenn ein Benutzer eine Passwort-Zurücksetzung anfordert. Dies erfolgt zusätzlich zum gehashten Schlüssel, den der WordPress-Core sicher in `wp_users.user_activation_key` speichert. Der im `wp_usermeta` gespeicherte Klartext-Schlüssel kann mit der benutzerdefinierten `armrp`-Zurücksetzungsaktion des Plugins verwendet werden, um das Passwort eines beliebigen Benutzers festzulegen. In Kombination mit einer weiteren Schwachstelle wie SQL Injection (CVE-2026-5073, CVE-2026-5074) ist es damit für nicht authentifizierte Angreifer möglich, den Klartext-Zurücksetzungsschlüssel zu extrahieren und jedes Benutzerkonto, einschließlich Administratorkonten, zu übernehmen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

28.03.2026

Veröffentlichung

03.06.2026

Moderieren

akzeptiert

Eintrag

VDB-368059

CPE

bereit

EPSS

0.00043

KEV

nein

Aktivitäten

low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5076
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5076
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5076/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!