פרצת אבטחה מעמידה 200,000 אתרי וורדפרס בסכנה

[מודעה_1]

לפי The Hacker News , הפגיעות, שסומנה כ-CVE-2023-3460 (ציון CVSS 9.8), קיימת בכל הגרסאות של התוסף Ultimate Member, כולל הגרסה האחרונה (2.6.6) שיצאה ב-29 ביוני 2023.

Ultimate Member הוא תוסף פופולרי ליצירת פרופילי משתמשים וקהילות באתרי וורדפרס. הוא מציע גם תכונות לניהול חשבונות.

WPScan - חברת אבטחת וורדפרס מסרה כי פגם אבטחה זה כה חמור עד שתוקפים יכולים לנצל אותו כדי ליצור חשבונות משתמש חדשים עם הרשאות ניהול, מה שנותן להאקרים שליטה מלאה על האתרים שנפגעו.

Lỗ hổng bảo mật khiến 200.000 website WordPress gặp nguy hiểm - Ảnh 1. — Ultimate Member הוא תוסף פופולרי שמשתמשים בו למעלה מ-200,000 אתרים.

פרטי הפגיעות נותרו בסתירה עקב חששות מניצול לרעה. מומחי אבטחה מ-Wordfence מתארים כי למרות שלתוסף יש רשימה של מפתחות אסורים שמשתמשים אינם יכולים לעדכן, ישנן דרכים פשוטות לעקוף את המסננים כגון שימוש בקו אלכסוני או קידוד תווים בערך המסופק בגרסאות של התוסף.

נקודת האבטחה נחשפה לאחר דיווחים על חשבונות מנהל מזויפים שנוספו לאתרים שנפגעו. עובדה זו גרמה למפתחי התוסף לשחרר תיקונים חלקיים בגרסאות 2.6.4, 2.6.5 ו-2.6.6. עדכון חדש צפוי בימים הקרובים.

Ultimate Member ציין בגרסה החדשה כי פגיעות הסלמת ההרשאות נוצלה באמצעות UM Forms, מה שאפשר לאדם לא מורשה ליצור משתמש וורדפרס ברמת מנהל. עם זאת, WPScan ציין כי התיקונים לא שלמים ומצא דרכים רבות לעקוף אותם, מה שאומר שעדיין ניתן לנצל את הבאג.

הפגיעות משמשת לרישום חשבונות חדשים תחת השמות apads, se_brutal, segs_brutal, wpadmins, wpengine_backup ו-wpenginer כדי להעלות תוספים ותבניות זדוניות דרך לוח הניהול של האתר. מומלץ לחברי Ultimate להשבית תוספים עד שיהיה זמין תיקון מלא לפגיעות זו.

[מודעה_2]
קישור למקור

תגית: שגיאת אבטחה הַרחָבָה חשבון משתמש

תגובה (0)

הכי פופולרי

החדש ביותר

No data