CVE-2026-5076: Krytyczna podatność resetu hasła w WordPress ARMember Premium (wtyczka)

Podsumowanie

Parametr	Wartość
CVE ID	CVE-2026-5076
Źródło alertu	GitHub Advisory - Krytyczna podatność
Rok publikacji CVE	2026
Data publikacji	2026-06-02
Producent	WordPress
Produkt	ARMember Premium (plugin)
CVSS Score	9.8 (Krytyczny)
EPSS Score	Brak danych
CISA KEV	Nie
Ransomware	Nie potwierdzono

Opis podatności

Źródło: NVD

Wtyczka ARMember Premium dla WordPress jest podatna na niebezpieczny mechanizm resetu hasła we wszystkich wersjach do 7.3.1 włącznie. Wtyczka przechowuje kopię klucza resetu hasła w postaci jawnej (plaintext) w polu user meta arm_reset_password_key, gdy użytkownik zażąda resetu hasła. Dzieje się to dodatkowo obok zahaszowanego klucza, który rdzeń WordPress bezpiecznie przechowuje w wp_users.user_activation_key. Jawny klucz przechowywany w wp_usermeta może zostać użyty z własną akcją resetu armrp wtyczki, aby…

Wymagane działania

Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.

Kogo dotyczy?

Podatność dotyczy produktu ARMember Premium (plugin) firmy WordPress. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.

Źródła

• NVD - CVE-2026-5076

• FIRST EPSS

---

Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.