Celah keamanan membahayakan 200.000 situs web WordPress

Menurut The Hacker News , kerentanan tersebut, yang dilacak sebagai CVE-2023-3460 (skor CVSS 9,8), ada di semua versi plugin Ultimate Member (ekstensi), termasuk versi terbaru (2.6.6) yang dirilis pada 29 Juni 2023.

Ultimate Member adalah plugin populer untuk membuat profil pengguna dan komunitas di situs web WordPress. Plugin ini juga menawarkan fitur manajemen akun.

WPScan - Perusahaan keamanan WordPress mengatakan kelemahan keamanan ini sangat serius sehingga penyerang dapat mengeksploitasinya untuk membuat akun pengguna baru dengan hak istimewa administratif, memberikan peretas kendali penuh atas situs web yang terpengaruh.

Detail kerentanan ini dirahasiakan karena kekhawatiran akan penyalahgunaan. Pakar keamanan dari Wordfence menjelaskan bahwa meskipun plugin ini memiliki daftar kunci terlarang yang tidak dapat diperbarui oleh pengguna, terdapat cara sederhana untuk melewati filter tersebut, seperti menggunakan garis miring atau pengkodean karakter dalam nilai yang disediakan dalam versi plugin.

Celah keamanan ini diumumkan setelah adanya laporan penambahan akun admin palsu ke situs web yang terdampak. Hal ini mendorong pengembang plugin untuk merilis perbaikan parsial pada versi 2.6.4, 2.6.5, dan 2.6.6. Pembaruan baru diperkirakan akan dirilis dalam beberapa hari mendatang.

Ultimate Member menyatakan dalam rilis terbaru bahwa kerentanan eskalasi hak istimewa digunakan melalui UM Forms, yang memungkinkan orang luar untuk membuat pengguna WordPress tingkat admin. Namun, WPScan menunjukkan bahwa patch tersebut belum lengkap dan menemukan beberapa cara untuk mengatasinya, yang berarti bug tersebut masih dapat dieksploitasi.

Kerentanan ini digunakan untuk mendaftarkan akun baru dengan nama apads, se_brutal, segs_brutal, wpadmins, wpengine_backup, dan wpenginer untuk mengunggah plugin dan tema berbahaya melalui panel admin situs web. Anggota Ultimate disarankan untuk menonaktifkan plugin hingga patch lengkap untuk kerentanan ini tersedia.