Šta se desilo?

Pronađena je ozbiljna sigurnosna ranjivost u WordPress pluginu Highland Software Custom Role Manager koja omogućava napadačima da prošire svoje dozvole u sistemu. Problem je u funkciji hscrm_save_user_roles() koja ne proverava dovoljno da li korisnik ima pravo da menja uloge drugih korisnika, čime se omogućava eskalacija privilegija kroz formu za ažuriranje profila.

Koga pogađa?

Svi korisnici WordPress sajtova koji koriste Highland Software Custom Role Manager verziju 1.0.0 ili stariju su potencijalno ugroženi. Posebno su rizični sajtovi sa većim brojem korisnika (članova, redaktora, autora), jer čak i korisnici sa Subscriber nivoima pristupa mogu da iskoriste ovu rupu za dobijanje viših dozvola.

Kako se zaštititi?

  • Hitno ažurirajte Highland Software Custom Role Manager plugin na verziju noviju od 1.0.0 čim bude dostupna
  • Ako nadogradnja nije moguća, privremeno deaktivirajte plugin dok se zakrpa ne objavi
  • Redovno pregledajte istoriju izmena korisničkih uloga na vašem sajtu radi detektovanja sumnjive aktivnosti
  • Ograničite broj korisnika sa Subscriber privilegijama samo na one kojima je to zaista potrebno
  • Održavajte WordPress i sve plugine redovno ažurirane

Tehnički detalji

CVE-2026-7106 je ranjivost tipa Privilege Escalation sa CVSS skorom od 8.8 (visok rizik). Problem se nalazi u nedoslednom čekanju autorizacije u hook-u na akciju personal_options_update, što znači da bilo koji prijavljeni korisnik može pokrenuti problematičan kod. Ranjivost je objavljena 27. aprila 2026.

Preporuka Sajber Radara

Ako ste administrator WordPress sajta koji koristi ovaj plugin, preporuka je da odmah proverite verziju i bez odlaganja primenite zakrpu čim bude objavljena. Do tada, razmotrite privremeno isključivanje plugina kao sigurnosnu meru. Redovna provera sigurnosnih saopštenja proizvođača je ključna za blagovremenu zaštitu.