Secondo The Hacker News , la vulnerabilità, con codice di tracciamento CVE-2023-3460 (punteggio CVSS 9.8), è presente in tutte le versioni del plugin (estensione) Ultimate Member, inclusa l'ultima versione (2.6.6) rilasciata il 29 giugno 2023.
Ultimate Member è un popolare plugin che aiuta a creare profili utente e community sui siti web WordPress. Questa utility offre anche funzionalità di gestione degli account.
WPScan, un'azienda specializzata nella sicurezza di WordPress, ha dichiarato che questa vulnerabilità è molto grave, in quanto consente agli aggressori di sfruttarla per creare nuovi account utente con privilegi amministrativi, garantendo così agli hacker il controllo completo dei siti web interessati.
Ultimate Member è un plugin molto diffuso, utilizzato da oltre 200.000 siti web.
I dettagli sulla vulnerabilità sono stati tenuti riservati per timore di abusi. Gli esperti di sicurezza di Wordfence hanno spiegato che, sebbene il plugin disponga di un elenco di chiavi bloccate che gli utenti non possono aggiornare, esistono semplici modi per aggirare i filtri, come l'utilizzo di barre oblique o la codifica dei caratteri nei valori forniti nelle diverse versioni del plugin.
Questa vulnerabilità di sicurezza è stata resa nota in seguito a segnalazioni relative all'aggiunta di falsi account amministratore ai siti web interessati. Ciò ha spinto gli sviluppatori del plugin a rilasciare correzioni parziali nelle versioni 2.6.4, 2.6.5 e 2.6.6. Un nuovo aggiornamento è previsto nei prossimi giorni.
Ultimate Member ha dichiarato nel suo ultimo comunicato che una vulnerabilità di escalation dei privilegi, sfruttata tramite UM Forms, consente a persone non autorizzate di creare utenti WordPress con privilegi di amministratore. Tuttavia, WPScan ha sottolineato che le patch sono incomplete e che sono stati trovati diversi metodi per aggirarle, il che significa che la vulnerabilità rimane sfruttabile.
La vulnerabilità viene sfruttata per registrare nuovi account con i nomi apads, se_brutal, segs_brutal, wpadmins, wpengine_backup e wpenginer al fine di caricare plugin e temi dannosi tramite il pannello di amministrazione del sito web. Gli utenti con abbonamento Ultimate Member dovrebbero disabilitare i plugin fino a quando questa vulnerabilità di sicurezza non sarà completamente corretta.
Link alla fonte
![[Foto] Il faro di Ba Lang An, l'"occhio del mare" nel "museo delle rocce" della provincia di Quang Ngai.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780038698840_anh-man-hinh-2026-05-29-luc-14-10-42.png)
![[Immagine] Il bel tempo aiuta gli studenti ad affrontare l'esame di ammissione al decimo anno con sicurezza.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780034401612_ngay-1-thi-lop-10-minh-duy-8-5009-jpg.webp)
Commento (0)