Laut The Hacker News ist die Sicherheitslücke mit der Bezeichnung CVE-2023-3460 (CVSS-Score 9,8) in allen Versionen des Ultimate Member-Plugins (Erweiterung) vorhanden, einschließlich der neuesten Version (2.6.6), die am 29. Juni 2023 veröffentlicht wurde.
Ultimate Member ist ein beliebtes Plugin zum Erstellen von Benutzerprofilen und Communities auf WordPress-Websites. Es bietet auch Funktionen zur Kontoverwaltung.
WPScan – Das WordPress-Sicherheitsunternehmen sagte, diese Sicherheitslücke sei so schwerwiegend, dass Angreifer sie ausnutzen könnten, um neue Benutzerkonten mit Administratorrechten zu erstellen, wodurch Hacker die vollständige Kontrolle über die betroffenen Websites hätten.
Ultimate Member ist ein beliebtes Plugin, das von über 200.000 Websites verwendet wird.
Details zur Sicherheitslücke wurden aufgrund von Missbrauchsbedenken zurückgehalten. Sicherheitsexperten von Wordfence beschreiben, dass das Plugin zwar eine Liste verbotener Schlüssel enthält, die Benutzer nicht aktualisieren können, es jedoch einfache Möglichkeiten gibt, die Filter zu umgehen, beispielsweise durch die Verwendung von Schrägstrichen oder Zeichenkodierungen in den in den Plugin-Versionen bereitgestellten Werten.
Die Sicherheitslücke wurde bekannt, nachdem Berichte über das Hinzufügen gefälschter Administratorkonten zu betroffenen Websites aufgetaucht waren. Dies veranlasste die Plugin-Entwickler, Teilkorrekturen in den Versionen 2.6.4, 2.6.5 und 2.6.6 zu veröffentlichen. Ein neues Update wird in den kommenden Tagen erwartet.
Ultimate Member erklärte in der neuen Version, dass die Sicherheitslücke zur Rechteausweitung über UM Forms ausgenutzt wurde, wodurch ein Außenstehender einen WordPress-Benutzer auf Administratorebene erstellen konnte. WPScan wies jedoch darauf hin, dass die Patches unvollständig seien und es mehrere Möglichkeiten gebe, sie zu umgehen, sodass der Fehler weiterhin ausgenutzt werden könne.
Die Sicherheitslücke wird ausgenutzt, um neue Konten unter den Namen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup und wpenginer zu registrieren und schädliche Plugins und Themes über das Admin-Panel der Website hochzuladen. Ultimate-Mitgliedern wird empfohlen, Plugins zu deaktivieren, bis ein vollständiger Patch für diese Sicherheitslücke verfügbar ist.
[Anzeige_2]
Quellenlink
![[Foto] Abschluss des 1. Kongresses der Parteidelegierten der zentralen Parteiagenturen](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/24/b419f67738854f85bad6dbefa40f3040)
![[Foto] Chefredakteur der Nhan Dan Zeitung Le Quoc Minh empfing die Arbeitsdelegation der Pasaxon Zeitung](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/23/da79369d8d2849318c3fe8e792f4ce16)
![[Foto] Feierliche Eröffnung des 1. Kongresses der Parteidelegierten der zentralen Parteiagenturen](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/9/24/82a89e250d4d43cbb6fcb312f21c5dd4)
Kommentar (0)