Según The Hacker News , la vulnerabilidad, identificada como CVE-2023-3460 (puntuación CVSS 9.8), existe en todas las versiones del complemento Ultimate Member (extensión), incluida la última versión (2.6.6) publicada el 29 de junio de 2023.
Ultimate Member es un plugin popular para crear perfiles de usuario y comunidades en sitios web de WordPress. También ofrece funciones de gestión de cuentas.
WPScan - La compañía de seguridad de WordPress dijo que esta falla de seguridad es tan grave que los atacantes pueden explotarla para crear nuevas cuentas de usuario con privilegios administrativos, dando a los piratas informáticos control total sobre los sitios web afectados.
Ultimate Member es un complemento popular que más de 200.000 sitios web utilizan.
Los detalles de la vulnerabilidad se han ocultado debido a la preocupación por posibles abusos. Los expertos en seguridad de Wordfence describen que, si bien el complemento cuenta con una lista de claves prohibidas que los usuarios no pueden actualizar, existen formas sencillas de eludir los filtros, como usar barras o codificación de caracteres en los valores proporcionados en las distintas versiones del complemento.
La falla de seguridad se anunció tras informes sobre la adición de cuentas de administrador falsas a los sitios web afectados. Esto llevó a los desarrolladores del plugin a publicar correcciones parciales en las versiones 2.6.4, 2.6.5 y 2.6.6. Se espera una nueva actualización en los próximos días.
Ultimate Member indicó en la nueva versión que la vulnerabilidad de escalada de privilegios se utilizaba a través de Formularios UM, lo que permitía a un tercero crear un usuario de WordPress con nivel de administrador. Sin embargo, WPScan señaló que los parches estaban incompletos y encontró múltiples maneras de sortearlos, lo que significa que el error aún podría explotarse.
La vulnerabilidad se está utilizando para registrar nuevas cuentas con los nombres apads, se_brutal, segs_brutal, wpadmins, wpengine_backup y wpenginer para cargar plugins y temas maliciosos a través del panel de administración del sitio web. Se recomienda a los miembros Ultimate que desactiven los plugins hasta que esté disponible una solución completa para esta vulnerabilidad.
[anuncio_2]
Enlace de origen
![[Foto] El primer ministro Pham Minh Chinh preside la primera reunión del Comité Directivo Central sobre política de vivienda y mercado inmobiliario.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/22/c0f42b88c6284975b4bcfcf5b17656e7)
![[Foto] El Secretario General To Lam entrega la Medalla Laboral de Primera Clase al Grupo Nacional de Energía e Industria de Vietnam.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/21/0ad2d50e1c274a55a3736500c5f262e5)
Kommentar (0)