The Hacker Newsによると、追跡コードCVE-2023-3460(CVSSスコア9.8)の脆弱性は、2023年6月29日にリリースされた最新バージョン(2.6.6)を含む、Ultimate Memberプラグイン(拡張機能)のすべてのバージョンに存在するとのことです。
Ultimate Memberは、WordPressウェブサイト上でユーザープロフィールやコミュニティを作成するのに役立つ人気のプラグインです。このツールはアカウント管理機能も提供します。
WordPressのセキュリティ企業であるWPScanは、このセキュリティ脆弱性は非常に深刻であり、攻撃者がこれを悪用して管理者権限を持つ新しいユーザーアカウントを作成し、影響を受けるウェブサイトを完全に制御できるようになる可能性があると述べています。
Ultimate Memberは、20万以上のウェブサイトで使用されている人気のプラグインです。
悪用される恐れがあるため、脆弱性に関する詳細は伏せられていた。Wordfenceのセキュリティ専門家は、プラグインにはユーザーが更新できない禁止キーのリストがあるものの、プラグインのバージョンで提供される値にスラッシュや文字エンコーディングを使用するなど、フィルターを回避する簡単な方法があると説明した。
このセキュリティ脆弱性は、影響を受けるウェブサイトに偽の管理者アカウントが追加されたという報告を受けて明らかになりました。これを受けて、プラグイン開発者はバージョン2.6.4、2.6.5、2.6.6で部分的な修正をリリースしました。新しいアップデートは近日中にリリースされる予定です。
Ultimate Memberは最新のリリースで、UM Formsを介して悪用される権限昇格の脆弱性により、権限のないユーザーがWordPressの管理者レベルのユーザーを作成できると発表しました。しかし、WPScanはパッチが不完全であり、それを回避する方法が複数見つかっているため、この脆弱性は依然として悪用可能であると指摘しています。
この脆弱性を悪用して、apads、se_brutal、segs_brutal、wpadmins、wpengine_backup、wpenginer といった名前で新規アカウントが登録され、ウェブサイトの管理パネルを通じて悪意のあるプラグインやテーマがアップロードされています。Ultimate Member ユーザーは、このセキュリティ脆弱性が完全に修正されるまで、プラグインを無効にしてください。
ソースリンク
コメント (0)