Laut The Hacker News existiert die Sicherheitslücke mit dem Tracking-Code CVE-2023-3460 (CVSS-Wert 9,8) in allen Versionen des Ultimate Member-Plugins (Erweiterung), einschließlich der neuesten Version (2.6.6), die am 29. Juni 2023 veröffentlicht wurde.
Ultimate Member ist ein beliebtes Plugin, mit dem sich Benutzerprofile und Communities auf WordPress-Websites erstellen lassen. Dieses Tool bietet außerdem Funktionen zur Kontoverwaltung.
Das WordPress-Sicherheitsunternehmen WPScan erklärte, dass diese Sicherheitslücke sehr schwerwiegend sei, da Angreifer sie ausnutzen könnten, um neue Benutzerkonten mit Administratorrechten zu erstellen und so die vollständige Kontrolle über betroffene Websites zu erlangen.
Ultimate Member ist ein beliebtes Plugin, das von über 200.000 Websites genutzt wird.
Details zur Sicherheitslücke wurden aus Missbrauchsgründen zurückgehalten. Sicherheitsexperten von Wordfence erklärten, dass das Plugin zwar eine Liste gesperrter Schlüssel enthält, die Benutzer nicht aktualisieren können, es aber einfache Möglichkeiten gibt, die Filter zu umgehen, beispielsweise durch die Verwendung von Schrägstrichen oder Zeichenkodierung in den in den Plugin-Versionen angegebenen Werten.
Diese Sicherheitslücke wurde aufgedeckt, nachdem Berichte über gefälschte Administratorkonten auf betroffenen Webseiten veröffentlicht wurden. Daraufhin veröffentlichten die Plugin-Entwickler in den Versionen 2.6.4, 2.6.5 und 2.6.6 Teillösungen. Ein weiteres Update wird in den kommenden Tagen erwartet.
Ultimate Member gab in seiner neuesten Meldung bekannt, dass eine über UM Forms ausgenutzte Sicherheitslücke zur Rechteausweitung es Unbefugten ermöglicht, WordPress-Benutzer mit Administratorrechten anzulegen. WPScan wies jedoch darauf hin, dass die Patches unvollständig sind und mehrere Methoden zu deren Umgehung gefunden wurden, wodurch die Sicherheitslücke weiterhin ausnutzbar ist.
Die Sicherheitslücke wird ausgenutzt, um neue Konten unter den Namen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup und wpenginer zu registrieren und über das Admin-Panel der Website schädliche Plugins und Themes hochzuladen. Ultimate Member-Nutzer sollten ihre Plugins deaktivieren, bis diese Sicherheitslücke vollständig behoben ist.
Quellenlink
![[Foto] Leuchtturm Ba Lang An – das „Auge des Meeres“ inmitten des „Felsenmuseums“ der Provinz Quang Ngai.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780038698840_anh-man-hinh-2026-05-29-luc-14-10-42.png)
![[Bild] Angenehmes Wetter hilft Schülern, selbstbewusst in die Aufnahmeprüfung der 10. Klasse zu gehen.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780034401612_ngay-1-thi-lop-10-minh-duy-8-5009-jpg.webp)
Kommentar (0)