सुरक्षा खामी के कारण 200,000 वर्डप्रेस वेबसाइटें खतरे में

द हैकर न्यूज़ के अनुसार, CVE-2023-3460 (CVSS स्कोर 9.8) के रूप में ट्रैक की गई भेद्यता, अल्टीमेट मेंबर प्लगइन के सभी संस्करणों में मौजूद है, जिसमें 29 जून, 2023 को जारी किया गया नवीनतम संस्करण (2.6.6) भी शामिल है।

अल्टीमेट मेंबर वर्डप्रेस वेबसाइटों पर उपयोगकर्ता प्रोफ़ाइल और समुदाय बनाने के लिए एक लोकप्रिय प्लगइन है। यह खाता प्रबंधन सुविधाएँ भी प्रदान करता है।

वर्डप्रेस सुरक्षा कंपनी WPScan ने कहा कि यह सुरक्षा दोष इतना गंभीर है कि हमलावर इसका फायदा उठाकर प्रशासनिक विशेषाधिकारों के साथ नए उपयोगकर्ता खाते बना सकते हैं, जिससे हैकर्स को प्रभावित वेबसाइटों पर पूर्ण नियंत्रण मिल जाएगा।

दुरुपयोग की आशंकाओं के कारण इस भेद्यता का विवरण गुप्त रखा गया है। वर्डफ़ेंस के सुरक्षा विशेषज्ञों का कहना है कि हालाँकि प्लगइन में प्रतिबंधित कुंजियों की एक सूची है जिन्हें उपयोगकर्ता अपडेट नहीं कर सकते, फिर भी फ़िल्टर को बायपास करने के आसान तरीके हैं, जैसे प्लगइन के संस्करणों में दिए गए मान में स्लैश या कैरेक्टर एन्कोडिंग का उपयोग करना।

प्रभावित वेबसाइटों पर फर्जी एडमिन अकाउंट जोड़े जाने की रिपोर्ट के बाद यह सुरक्षा खामी उजागर हुई। इसके बाद प्लगइन डेवलपर्स ने संस्करण 2.6.4, 2.6.5 और 2.6.6 में आंशिक सुधार जारी किए। आने वाले दिनों में एक नया अपडेट आने की उम्मीद है।

अल्टीमेट मेंबर ने नई रिलीज़ में कहा कि विशेषाधिकार वृद्धि भेद्यता का इस्तेमाल UM फ़ॉर्म्स के ज़रिए किया गया था, जिससे एक अनधिकृत व्यक्ति को एडमिनिस्ट्रेटर-स्तर का वर्डप्रेस उपयोगकर्ता बनाने की अनुमति मिल गई। हालाँकि, WPScan ने बताया कि पैच अधूरे थे और उन्हें दरकिनार करने के कई तरीके खोजे गए थे, जिसका मतलब है कि बग का अभी भी फायदा उठाया जा सकता है।

इस भेद्यता का उपयोग apads, se_brutal, segs_brutal, wpadmins, wpengine_backup, और wpenginer नामों से नए खाते पंजीकृत करने के लिए किया जा रहा है ताकि वेबसाइट के एडमिन पैनल के माध्यम से दुर्भावनापूर्ण प्लगइन्स और थीम अपलोड की जा सकें। अल्टीमेट सदस्यों को सलाह दी जाती है कि वे इस भेद्यता के लिए पूर्ण पैच उपलब्ध होने तक प्लगइन्स को अक्षम कर दें।