Σύμφωνα με το The Hacker News , η ευπάθεια, που καταγράφεται ως CVE-2023-3460 (βαθμολογία CVSS 9,8), υπάρχει σε όλες τις εκδόσεις του πρόσθετου (επέκτασης) Ultimate Member, συμπεριλαμβανομένης της τελευταίας έκδοσης (2.6.6) που κυκλοφόρησε στις 29 Ιουνίου 2023.
Το Ultimate Member είναι ένα δημοφιλές πρόσθετο (plugin) για τη δημιουργία προφίλ χρηστών και κοινοτήτων σε ιστότοπους WordPress. Προσφέρει επίσης λειτουργίες διαχείρισης λογαριασμών.
Η WPScan - η εταιρεία ασφαλείας WordPress, δήλωσε ότι αυτό το ελάττωμα ασφαλείας είναι τόσο σοβαρό που οι εισβολείς μπορούν να το εκμεταλλευτούν για να δημιουργήσουν νέους λογαριασμούς χρηστών με δικαιώματα διαχειριστή, δίνοντας στους χάκερ τον πλήρη έλεγχο των επηρεαζόμενων ιστότοπων.
Το Ultimate Member είναι ένα δημοφιλές πρόσθετο (plugin) που το χρησιμοποιούν πάνω από 200.000 ιστότοποι.
Λεπτομέρειες σχετικά με την ευπάθεια έχουν αποκρυφθεί λόγω ανησυχιών για κατάχρηση. Οι ειδικοί ασφαλείας από το Wordfence περιγράφουν ότι ενώ το plugin έχει μια λίστα με απαγορευμένα κλειδιά που οι χρήστες δεν μπορούν να ενημερώσουν, υπάρχουν απλοί τρόποι για να παρακάμψετε τα φίλτρα, όπως η χρήση καθέτων ή κωδικοποίησης χαρακτήρων στις τιμές που παρέχονται στις εκδόσεις του plugin.
Το ελάττωμα ασφαλείας ανακοινώθηκε μετά από αναφορές για προσθήκη ψεύτικων λογαριασμών διαχειριστή σε ιστότοπους που επηρεάστηκαν. Αυτό ώθησε τους προγραμματιστές πρόσθετων να κυκλοφορήσουν μερικές διορθώσεις στις εκδόσεις 2.6.4, 2.6.5 και 2.6.6. Αναμένεται νέα ενημέρωση τις επόμενες ημέρες.
Το Ultimate Member ανέφερε στη νέα έκδοση ότι η ευπάθεια κλιμάκωσης δικαιωμάτων χρησιμοποιήθηκε μέσω του UM Forms, επιτρέποντας σε έναν εξωτερικό χρήστη να δημιουργήσει έναν χρήστη WordPress σε επίπεδο διαχειριστή. Ωστόσο, το WPScan επεσήμανε ότι οι ενημερώσεις κώδικα ήταν ελλιπείς και βρήκε πολλούς τρόπους για να τις παρακάμψει, πράγμα που σημαίνει ότι το σφάλμα θα μπορούσε ακόμα να αξιοποιηθεί.
Το θέμα ευπάθειας χρησιμοποιείται για την εγγραφή νέων λογαριασμών με τα ονόματα apads, se_brutal, segs_brutal, wpadmins, wpengine_backup και wpenginer για τη μεταφόρτωση κακόβουλων plugins και θεμάτων μέσω του πίνακα διαχείρισης του ιστότοπου. Συνιστάται στα μέλη του Ultimate να απενεργοποιήσουν τα plugins μέχρι να είναι διαθέσιμη μια πλήρης ενημέρωση κώδικα για αυτό το θέμα ευπάθειας.
[διαφήμιση_2]
Σύνδεσμος πηγής
![[Φωτογραφία] Το Τρίτο Πατριωτικό Συνέδριο Μίμησης της Κεντρικής Επιτροπής Εσωτερικών Υποθέσεων](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761831176178_dh-thi-dua-yeu-nuoc-5076-2710-jpg.webp)
![[Φωτογραφία] Ο Γενικός Γραμματέας Το Λαμ παρευρίσκεται στη Διάσκεψη Υψηλού Επιπέδου για την Οικονομία Βιετνάμ-Ηνωμένο Βασίλειο](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761825773922_anh-1-3371-jpg.webp)
![[Φωτογραφία] Ο Πρωθυπουργός Φαμ Μινχ Τσινχ παρευρίσκεται στην 5η Τελετή Απονομής Εθνικών Βραβείων Τύπου για την πρόληψη και την καταπολέμηση της διαφθοράς, της σπατάλης και της αρνητικότητας](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761881588160_dsc-8359-jpg.webp)
Σχόλιο (0)