פגיעות אבטחה מעמידה 200,000 אתרי וורדפרס בסיכון.

[מודעה_1]

לפי The Hacker News , הפגיעות, עם קוד מעקב CVE-2023-3460 (ציון CVSS 9.8), קיימת בכל הגרסאות של התוסף Ultimate Member (הרחבה), כולל הגרסה האחרונה (2.6.6) שיצאה ב-29 ביוני 2023.

Ultimate Member הוא תוסף פופולרי המסייע ביצירת פרופילי משתמשים וקהילות באתרי וורדפרס. כלי זה מספק גם תכונות לניהול חשבונות.

WPScan, חברת אבטחת וורדפרס, הצהירה כי פגיעות אבטחה זו חמורה מאוד, ומאפשרת לתוקפים לנצל אותה כדי ליצור חשבונות משתמש חדשים עם הרשאות ניהול, ובכך לתת להאקרים שליטה מלאה על האתרים שנפגעו.

Lỗ hổng bảo mật khiến 200.000 website WordPress gặp nguy hiểm - Ảnh 1. — Ultimate Member הוא תוסף פופולרי בו משתמשים למעלה מ-200,000 אתרים.

פרטים על הפגיעות נסתרו עקב חששות מניצול לרעה. מומחי אבטחה מ-Wordfence תיארו כי למרות שלתוסף יש רשימה של מפתחות אסורים שמשתמשים אינם יכולים לעדכן, ישנן דרכים פשוטות לעקוף את המסננים, כגון שימוש בקו אלכסוני קדימה או קידוד תווים בערכים המסופקים בגרסאות של התוסף.

פגיעות אבטחה זו נחשפה לאחר שדווחו דיווחים על חשבונות מנהל מזויפים שנוספו לאתרים שנפגעו. עובדה זו גרמה למפתחי תוספים לשחרר תיקונים חלקיים בגרסאות 2.6.4, 2.6.5 ו-2.6.6. עדכון חדש צפוי לצאת בימים הקרובים.

Ultimate Member הצהירה בגרסה האחרונה שלה כי פגיעות של הסלמת הרשאות, שמנוצלת באמצעות UM Forms, מאפשרת לאנשים לא מורשים ליצור משתמשי וורדפרס ברמת מנהל. עם זאת, WPScan ציינה כי התיקונים אינם שלמים וכי נמצאו מספר שיטות לעקוף אותם, מה שאומר שהפגיעות עדיין ניתנת לניצול.

הפגיעות מנוצלת כדי לרשום חשבונות חדשים תחת השמות apads, se_brutal, segs_brutal, wpadmins, wpengine_backup ו-wpenginer כדי להעלות תוספים ותבניות זדוניות דרך לוח הניהול של האתר. משתמשי Ultimate Member צריכים להשבית תוספים עד לפגיעות אבטחה זו תותקן במלואה.

[מודעה_2]
קישור למקור