Σύμφωνα με το The Hacker News , η ευπάθεια, που καταγράφεται ως CVE-2023-3460 (βαθμολογία CVSS 9,8), υπάρχει σε όλες τις εκδόσεις του πρόσθετου Ultimate Member, συμπεριλαμβανομένης της τελευταίας έκδοσης (2.6.6) που κυκλοφόρησε στις 29 Ιουνίου 2023.
Το Ultimate Member είναι ένα δημοφιλές πρόσθετο (plugin) για τη δημιουργία προφίλ χρηστών και κοινοτήτων σε ιστότοπους WordPress. Προσφέρει επίσης λειτουργίες διαχείρισης λογαριασμών.
Η WPScan - η εταιρεία ασφαλείας WordPress, δήλωσε ότι αυτό το ελάττωμα ασφαλείας είναι τόσο σοβαρό που οι εισβολείς μπορούν να το εκμεταλλευτούν για να δημιουργήσουν νέους λογαριασμούς χρηστών με δικαιώματα διαχειριστή, δίνοντας στους χάκερ τον πλήρη έλεγχο των επηρεαζόμενων ιστότοπων.
Το Ultimate Member είναι ένα δημοφιλές πρόσθετο (plugin) που το χρησιμοποιούν πάνω από 200.000 ιστότοποι.
Λεπτομέρειες σχετικά με την ευπάθεια έχουν αποκρυφθεί λόγω ανησυχιών για κατάχρηση. Οι ειδικοί ασφαλείας από το Wordfence περιγράφουν ότι παρόλο που το plugin διαθέτει μια λίστα με απαγορευμένα κλειδιά που οι χρήστες δεν μπορούν να ενημερώσουν, υπάρχουν απλοί τρόποι για να παρακάμψετε τα φίλτρα, όπως η χρήση καθέτων ή κωδικοποίησης χαρακτήρων στην τιμή που παρέχεται στις εκδόσεις του plugin.
Το ελάττωμα ασφαλείας αποκαλύφθηκε μετά από αναφορές για προσθήκη ψεύτικων λογαριασμών διαχειριστή σε ιστότοπους που επηρεάστηκαν. Αυτό ώθησε τους προγραμματιστές πρόσθετων να κυκλοφορήσουν μερικές διορθώσεις στις εκδόσεις 2.6.4, 2.6.5 και 2.6.6. Αναμένεται νέα ενημέρωση τις επόμενες ημέρες.
Το Ultimate Member ανέφερε στη νέα έκδοση ότι η ευπάθεια κλιμάκωσης δικαιωμάτων χρησιμοποιήθηκε μέσω των UM Forms, επιτρέποντας σε ένα μη εξουσιοδοτημένο άτομο να δημιουργήσει έναν χρήστη WordPress σε επίπεδο διαχειριστή. Ωστόσο, το WPScan επεσήμανε ότι οι ενημερώσεις κώδικα ήταν ελλιπείς και βρήκε πολλούς τρόπους για να τις παρακάμψει, πράγμα που σημαίνει ότι το σφάλμα θα μπορούσε ακόμα να αξιοποιηθεί.
Το θέμα ευπάθειας χρησιμοποιείται για την εγγραφή νέων λογαριασμών με τα ονόματα apads, se_brutal, segs_brutal, wpadmins, wpengine_backup και wpenginer για τη μεταφόρτωση κακόβουλων plugins και θεμάτων μέσω του πίνακα διαχείρισης του ιστότοπου. Συνιστάται στα μέλη του Ultimate να απενεργοποιήσουν τα plugins μέχρι να είναι διαθέσιμη μια πλήρης ενημέρωση κώδικα για αυτό το θέμα ευπάθειας.
[διαφήμιση_2]
Σύνδεσμος πηγής
![[Φωτογραφία] Εμπειρία στην Έκθεση 80 ετών εθνικών επιτευγμάτων - Σημαντική δραστηριότητα για τους νέους φοιτητές](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/10/286061b79abb4afa8961d730c9833cdd)
![[Φωτογραφία] Εγκαινιάζεται επίσημα το Διεθνές Αεροδρόμιο Techo της Καμπότζης](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/9/330836bb28ad4ee4bdd512cc1a2d0849)
![[Φωτογραφία] Κοντινό πλάνο 3.790 διαμερισμάτων μετεγκατάστασης στο Thu Thiem που θα συνεχιστούν σε δημοπρασία](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/10/be974e2058f74c9c8dc1f400124f3653)
Σχόλιο (0)