פרצת אבטחה מסכנת 200,000 אתרי וורדפרס

לפי The Hacker News , הפגיעות, שסומנה כ-CVE-2023-3460 (ציון CVSS 9.8), קיימת בכל הגרסאות של התוסף Ultimate Member (הרחבה), כולל הגרסה האחרונה (2.6.6) שיצאה ב-29 ביוני 2023.

Ultimate Member הוא תוסף פופולרי ליצירת פרופילי משתמשים וקהילות באתרי וורדפרס. הוא מציע גם תכונות לניהול חשבונות.

WPScan - חברת אבטחת וורדפרס מסרה כי פגם אבטחה זה כה חמור עד שתוקפים יכולים לנצל אותו כדי ליצור חשבונות משתמש חדשים עם הרשאות ניהול, מה שנותן להאקרים שליטה מלאה על האתרים שנפגעו.

פרטי הפגיעות הוסתרו עקב חששות מניצול לרעה. מומחי אבטחה מ-Wordfence מתארים כי בעוד שלתוסף יש רשימה של מפתחות אסורים שמשתמשים אינם יכולים לעדכן, ישנן דרכים פשוטות לעקוף את המסננים כגון שימוש בקו אלכסוני או קידוד תווים בערכים המסופקים בגרסאות של התוסף.

פרצת האבטחה הוכרזה לאחר דיווחים על חשבונות מנהל מזויפים שנוספו לאתרים שנפגעו. עובדה זו גרמה למפתחי התוסף לשחרר תיקונים חלקיים בגרסאות 2.6.4, 2.6.5 ו-2.6.6. עדכון חדש צפוי בימים הקרובים.

Ultimate Member ציין בגרסה החדשה כי פגיעות הסלמת ההרשאות נוצלה דרך UM Forms, מה שאפשר לגורם חיצוני ליצור משתמש וורדפרס ברמת מנהל. עם זאת, WPScan ציין כי התיקונים אינם שלמים ומצא דרכים רבות לעקוף אותם, מה שאומר שעדיין ניתן לנצל את הבאג.

הפגיעות משמשת לרישום חשבונות חדשים תחת השמות apads, se_brutal, segs_brutal, wpadmins, wpengine_backup ו-wpenginer כדי להעלות תוספים ותבניות זדוניות דרך לוח הניהול של האתר. מומלץ לחברי Ultimate להשבית תוספים עד שיהיה זמין תיקון מלא לפגיעות זו.