द हैकर न्यूज़ के अनुसार, CVE-2023-3460 (CVSS स्कोर 9.8) के रूप में ट्रैक की गई भेद्यता, अल्टीमेट मेंबर प्लगइन (एक्सटेंशन) के सभी संस्करणों में मौजूद है, जिसमें 29 जून, 2023 को जारी नवीनतम संस्करण (2.6.6) भी शामिल है।
अल्टीमेट मेंबर वर्डप्रेस वेबसाइटों पर उपयोगकर्ता प्रोफ़ाइल और समुदाय बनाने के लिए एक लोकप्रिय प्लगइन है। यह खाता प्रबंधन सुविधाएँ भी प्रदान करता है।
वर्डप्रेस सुरक्षा कंपनी WPScan ने कहा कि यह सुरक्षा दोष इतना गंभीर है कि हमलावर इसका फायदा उठाकर प्रशासनिक विशेषाधिकारों के साथ नए उपयोगकर्ता खाते बना सकते हैं, जिससे हैकर्स को प्रभावित वेबसाइटों पर पूर्ण नियंत्रण मिल जाएगा।
अल्टीमेट मेंबर एक लोकप्रिय प्लगइन है जिसका उपयोग 200,000 से अधिक वेबसाइटें कर रही हैं।
दुरुपयोग की आशंकाओं के कारण इस भेद्यता का विवरण गुप्त रखा गया है। वर्डफ़ेंस के सुरक्षा विशेषज्ञ बताते हैं कि प्लगइन में प्रतिबंधित कुंजियों की एक सूची तो है, जिन्हें उपयोगकर्ता अपडेट नहीं कर सकते, लेकिन फ़िल्टर को बायपास करने के आसान तरीके हैं, जैसे प्लगइन के संस्करणों में दिए गए मानों में स्लैश या कैरेक्टर एन्कोडिंग का उपयोग करना।
प्रभावित वेबसाइटों पर फर्जी एडमिन अकाउंट जोड़े जाने की खबरों के बाद इस सुरक्षा खामी की घोषणा की गई। इसके बाद प्लगइन डेवलपर्स ने संस्करण 2.6.4, 2.6.5 और 2.6.6 में आंशिक सुधार जारी किए। आने वाले दिनों में एक नया अपडेट आने की उम्मीद है।
अल्टीमेट मेंबर ने नई रिलीज़ में कहा कि विशेषाधिकार वृद्धि भेद्यता का इस्तेमाल UM फ़ॉर्म्स के ज़रिए किया गया था, जिससे किसी बाहरी व्यक्ति को एडमिन-लेवल वर्डप्रेस यूज़र बनाने की अनुमति मिल गई। हालाँकि, WPScan ने बताया कि पैच अधूरे थे और उन्हें दरकिनार करने के कई तरीके खोजे गए थे, जिसका मतलब है कि बग का अभी भी फायदा उठाया जा सकता है।
इस भेद्यता का उपयोग apads, se_brutal, segs_brutal, wpadmins, wpengine_backup, और wpenginer नामों से नए खाते पंजीकृत करने के लिए किया जा रहा है ताकि वेबसाइट के एडमिन पैनल के माध्यम से दुर्भावनापूर्ण प्लगइन्स और थीम अपलोड की जा सकें। अल्टीमेट सदस्यों को सलाह दी जाती है कि वे इस भेद्यता के लिए पूर्ण पैच उपलब्ध होने तक प्लगइन्स को अक्षम कर दें।
[विज्ञापन_2]
स्रोत लिंक
टिप्पणी (0)