Laut The Hacker News existiert die Schwachstelle, die unter CVE-2023-3460 (CVSS-Wert 9,8) geführt wird, in allen Versionen des Ultimate Member-Plugins (Erweiterung), einschließlich der neuesten Version (2.6.6), die am 29. Juni 2023 veröffentlicht wurde.
Ultimate Member ist ein beliebtes Plugin zum Erstellen von Benutzerprofilen und Communities auf WordPress-Websites. Es bietet außerdem Funktionen zur Kontoverwaltung.
WPScan, ein Unternehmen für WordPress-Sicherheit, erklärte, diese Sicherheitslücke sei so gravierend, dass Angreifer sie ausnutzen könnten, um neue Benutzerkonten mit Administratorrechten zu erstellen und so die vollständige Kontrolle über betroffene Websites zu erlangen.
Ultimate Member ist ein beliebtes Plugin, das von über 200.000 Websites genutzt wird.
Details zur Sicherheitslücke wurden aus Missbrauchsgründen zurückgehalten. Sicherheitsexperten von Wordfence erklären, dass das Plugin zwar eine Liste gesperrter Schlüssel enthält, die Benutzer nicht aktualisieren können, es aber einfache Möglichkeiten gibt, die Filter zu umgehen, beispielsweise durch die Verwendung von Schrägstrichen oder Zeichenkodierung in den in den Plugin-Versionen angegebenen Werten.
Die Sicherheitslücke wurde bekannt, nachdem Berichte über gefälschte Administratorkonten auf betroffenen Webseiten eingegangen waren. Daraufhin veröffentlichten die Plugin-Entwickler in den Versionen 2.6.4, 2.6.5 und 2.6.6 Teillösungen. Ein weiteres Update wird in den kommenden Tagen erwartet.
Ultimate Member gab in der neuen Pressemitteilung bekannt, dass die Sicherheitslücke zur Rechteausweitung über UM Forms ausgenutzt wurde, wodurch Unbefugte einen WordPress-Benutzer mit Administratorrechten erstellen konnten. WPScan wies jedoch darauf hin, dass die Patches unvollständig seien und mehrere Möglichkeiten zur Umgehung gefunden wurden, sodass der Fehler weiterhin ausgenutzt werden könne.
Die Sicherheitslücke wird ausgenutzt, um neue Konten unter den Namen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup und wpenginer zu registrieren und über das Admin-Panel der Website schädliche Plugins und Themes hochzuladen. Ultimate-Mitgliedern wird empfohlen, Plugins zu deaktivieren, bis ein vollständiger Patch für diese Sicherheitslücke verfügbar ist.
Quellenlink
![Dong Nai OCOP-Übergang: [Teil 2] Eröffnung eines neuen Vertriebskanals](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/09/1762655780766_4613-anh-1_20240803100041-nongnghiep-154608.jpeg)
Kommentar (0)