ARMember-Lücke CVE-2026-5076: Jetzt auf 7.3.2 updaten

Mitgliederbereiche sollen deine Inhalte schützen — bei ARMember Premium war zuletzt das Gegenteil der Fall. Das WordPress-Plugin speichert den Schlüssel zum Zurücksetzen von Passwörtern im Klartext in der Datenbank. Die Folge: Angreifer können im schlimmsten Fall jedes Konto übernehmen — auch deins als Admin.

SCHOCK: Der Generalschlüssel liegt offen herum

Die am 2. Juni veröffentlichte Lücke CVE-2026-5076 bekommt einen CVSS-Score von satten 9.8. Das Problem: Während WordPress selbst Reset-Keys nur als Hash ablegt, schreibt ARMember eine unverschlüsselte Kopie in das User-Meta-Feld arm_reset_password_key. Wer dieses Feld auslesen kann, setzt über die Plugin-eigene Reset-Funktion armrp einfach ein neues Passwort für beliebige Nutzer.

GEFAHR! Im Doppelpack wird es kritisch

„Wer die Datenbank lesen kann, hat doch eh gewonnen“, denkst du? Genau hier kommt der zweite Treffer: ARMember bringt parallel die SQL-Injection-Lücken CVE-2026-5073 und CVE-2026-5074 mit (CVSS 7.5). Kombiniert heißt das: Ein nicht angemeldeter Angreifer zieht sich per SQL-Injection die Klartext-Reset-Keys aus der Datenbank — und übernimmt anschließend in aller Ruhe Konten. Vom Außenstehenden zum Administrator, ganz ohne Phishing.

So rettest du deine Seite SOFORT

Schritt 1: Update auf ARMember Premium 7.3.2 oder neuer — die Version behebt den unsicheren Reset-Mechanismus.
Schritt 2: Prüfe deine Nutzerliste auf unbekannte Admin-Konten und verdächtige Anmeldungen.
Schritt 3: Setze sicherheitshalber die Passwörter privilegierter Konten neu und erneuere die WordPress-Salts in der wp-config.php, damit alte Sessions ungültig werden.

FAZIT: Membership-Plugins sind Kronjuwelen-Verwalter

Ein Mitglieder-Plugin verwaltet Logins, Zahlungen und persönliche Daten — Fehler wiegen hier doppelt schwer. Wenn du ARMember einsetzt, ist dieses Update keine Empfehlung, sondern Pflicht. Und generell gilt: Je weniger Plugins mit eigenen Login-Mechanismen, desto kleiner deine Angriffsfläche.

Häufige Fragen

Welche Versionen sind betroffen?

Verwundbar sind alle Versionen von ARMember Premium bis einschließlich 7.3.1. Die Schwachstelle CVE-2026-5076 (unsicherer Passwort-Reset, CVSS 9.8) ist ab Version 7.3.2 behoben. Auch die begleitenden SQL-Injection-Lücken CVE-2026-5073 und CVE-2026-5074 solltest du mit demselben Update schließen.

Wie merke ich, ob meine Seite schon angegriffen wurde?

Prüfe die WordPress-Nutzerliste auf neue oder unbekannte Konten mit Administratorrechten, kontrolliere Login-Zeitpunkte und schau in die Server-Logs nach auffälligen Anfragen an Plugin-Endpunkte mit dem Parameter armrp. Sicherheits-Plugins mit Audit-Log zeigen verdächtige Passwort-Resets ebenfalls an.

Wie behebe ich das Problem konkret?

Aktualisiere ARMember Premium umgehend auf Version 7.3.2 oder neuer. Setze danach die Passwörter aller Administrator- und Editor-Konten zurück und tausche die Security-Keys (Salts) in der wp-config.php aus, damit bestehende Sessions und alte Reset-Links ungültig werden.

Gab es schon aktive Angriffe?

Zum Zeitpunkt der Veröffentlichung am 2. Juni 2026 waren keine breiten Angriffswellen dokumentiert. Da die Kombination aus SQL-Injection und Klartext-Reset-Keys aber eine vollständige Konto-Übernahme ohne Anmeldung erlaubt und Details öffentlich sind, ist mit automatisierten Scans kurzfristig zu rechnen.

Quellen: Threat-Modeling.com Vulnerability Intelligence Report · Patchstack-Datenbank (ARMember) · BitNinja

MITGLIEDER-GAU! WordPress-Plugin ARMember verschenkt JETZT Admin-Konten — der Reset-Schlüssel liegt im Klartext