Biztonsági hiba 200 000 WordPress weboldalt veszélyeztet

A The Hacker News szerint a CVE-2023-3460 azonosítójú (CVSS pontszám 9,8) sebezhetőség az Ultimate Member plugin összes verziójában megtalálható, beleértve a legújabb, 2023. június 29-én kiadott verziót (2.6.6).

Az Ultimate Member egy népszerű bővítmény felhasználói profilok és közösségek létrehozásához WordPress webhelyeken. Fiókkezelési funkciókat is kínál.

A WPScan – A WordPress biztonsági cége szerint ez a biztonsági rés olyan súlyos, hogy a támadók kihasználhatják azt új felhasználói fiókok létrehozására rendszergazdai jogosultságokkal, teljes ellenőrzést biztosítva a hackereknek az érintett webhelyek felett.

A sebezhetőség részleteit a visszaélések veszélye miatt visszatartották. A Wordfence biztonsági szakértői szerint bár a bővítmény rendelkezik egy tiltott kulcsok listájával, amelyeket a felhasználók nem frissíthetnek, egyszerű módokon lehet megkerülni a szűrőket, például perjelek vagy karakterkódolás használatával a bővítmény verzióiban megadott értékekben.

A biztonsági hibát azután hozták nyilvánosságra, hogy jelentések érkeztek arról, hogy hamis adminisztrátori fiókokat adtak hozzá az érintett webhelyekhez. Ez arra késztette a bővítmények fejlesztőit, hogy részleges javításokat adjanak ki a 2.6.4, 2.6.5 és 2.6.6 verziókban. A következő napokban új frissítés várható.

Az Ultimate Member az új kiadásban azt állította, hogy a jogosultság-eszkalációs sebezhetőséget az UM Forms-on keresztül használták ki, lehetővé téve egy jogosulatlan személy számára, hogy rendszergazdai szintű WordPress felhasználót hozzon létre. A WPScan azonban rámutatott, hogy a javítások hiányosak voltak, és több módot is találtak a megkerülésükre, ami azt jelenti, hogy a hiba továbbra is kihasználható.

A sebezhetőséget arra használják, hogy új fiókokat regisztráljanak apads, se_brutal, segs_brutal, wpadmins, wpengine_backup és wpenginer néven, és rosszindulatú bővítményeket és témákat töltsenek fel a weboldal adminisztrációs paneljén keresztül. Az Ultimate tagoknak azt tanácsoljuk, hogy tiltsák le a bővítményeket, amíg a sebezhetőséghez nem áll rendelkezésre teljes javítás.