Menurut The Hacker News , kerentanan tersebut, dengan kode pelacakan CVE-2023-3460 (skor CVSS 9.8), terdapat di semua versi plugin (ekstensi) Ultimate Member, termasuk versi terbaru (2.6.6) yang dirilis pada 29 Juni 2023.
Ultimate Member adalah plugin populer yang membantu membuat profil pengguna dan komunitas di situs web WordPress. Utilitas ini juga menyediakan fitur manajemen akun.
WPScan, sebuah perusahaan keamanan WordPress, menyatakan bahwa kerentanan keamanan ini sangat serius, memungkinkan penyerang untuk mengeksploitasinya guna membuat akun pengguna baru dengan hak akses administratif, memberikan peretas kendali penuh atas situs web yang terpengaruh.
Ultimate Member adalah plugin populer yang digunakan oleh lebih dari 200.000 situs web.
Detail tentang kerentanan tersebut dirahasiakan karena kekhawatiran akan penyalahgunaan. Pakar keamanan dari Wordfence menjelaskan bahwa meskipun plugin tersebut memiliki daftar kunci terlarang yang tidak dapat diperbarui oleh pengguna, ada cara mudah untuk melewati filter tersebut, seperti menggunakan garis miring atau pengkodean karakter dalam nilai yang diberikan dalam versi plugin.
Kerentanan keamanan ini terungkap setelah muncul laporan tentang penambahan akun administrator palsu ke situs web yang terdampak. Hal ini mendorong pengembang plugin untuk merilis perbaikan sebagian pada versi 2.6.4, 2.6.5, dan 2.6.6. Pembaruan baru diharapkan akan dirilis dalam beberapa hari mendatang.
Ultimate Member menyatakan dalam rilis terbarunya bahwa kerentanan peningkatan hak akses, yang dieksploitasi melalui UM Forms, memungkinkan individu yang tidak berwenang untuk membuat pengguna WordPress tingkat administrator. Namun, WPScan menunjukkan bahwa tambalan tersebut tidak lengkap dan beberapa metode untuk melewatinya telah ditemukan, yang berarti kerentanan tersebut masih dapat dieksploitasi.
Kerentanan ini dieksploitasi untuk mendaftarkan akun baru dengan nama apads, se_brutal, segs_brutal, wpadmins, wpengine_backup, dan wpenginer untuk mengunggah plugin dan tema berbahaya melalui panel admin situs web. Pengguna Ultimate Member harus menonaktifkan plugin hingga kerentanan keamanan ini sepenuhnya diperbaiki.
Tautan sumber
![[Foto] Mercusuar Ba Lang An - "mata laut" di tengah "museum batu" provinsi Quang Ngai.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780038698840_anh-man-hinh-2026-05-29-luc-14-10-42.png)
![[Gambar] Cuaca yang menyenangkan membantu siswa memasuki ujian masuk kelas 10 dengan percaya diri.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780034401612_ngay-1-thi-lop-10-minh-duy-8-5009-jpg.webp)
Komentar (0)