Menurut The Hacker News , kerentanan, yang dijejaki sebagai CVE-2023-3460 (skor CVSS 9.8), wujud dalam semua versi pemalam Ahli Ultimate, termasuk versi terkini (2.6.6) yang dikeluarkan pada 29 Jun 2023.
Ultimate Member ialah pemalam popular untuk mencipta profil pengguna dan komuniti di laman web WordPress. Ia juga menawarkan ciri pengurusan akaun.
WPScan - Syarikat keselamatan WordPress berkata kecacatan keselamatan ini sangat serius sehingga penyerang boleh mengeksploitasi mereka untuk mencipta akaun pengguna baharu dengan keistimewaan pentadbiran, memberikan penggodam kawalan sepenuhnya ke atas tapak web yang terjejas.
Ultimate Member ialah pemalam popular dengan lebih 200,000 tapak web menggunakannya.
Butiran tentang kerentanan telah ditahan kerana kebimbangan mengenai penderaan. Pakar keselamatan dari Wordfence menerangkan bahawa walaupun pemalam mempunyai senarai kunci terlarang yang tidak boleh dikemas kini oleh pengguna, terdapat cara mudah untuk memintas penapis seperti menggunakan garis miring atau pengekodan aksara dalam nilai yang disediakan dalam versi pemalam.
Cacat keselamatan telah didedahkan selepas laporan akaun pentadbir palsu ditambahkan pada tapak web yang terjejas. Ini mendorong pembangun pemalam untuk mengeluarkan pembetulan separa dalam versi 2.6.4, 2.6.5 dan 2.6.6. Kemas kini baharu dijangka dalam beberapa hari akan datang.
Ultimate Member berkata dalam keluaran baharu bahawa kerentanan peningkatan keistimewaan telah digunakan melalui Borang UM, membenarkan orang yang tidak dibenarkan membuat pengguna WordPress peringkat pentadbir. Walau bagaimanapun, WPScan menegaskan bahawa patch tidak lengkap dan menemui pelbagai cara untuk memintasnya, bermakna pepijat masih boleh dieksploitasi.
Kerentanan sedang digunakan untuk mendaftarkan akaun baharu di bawah nama apads, se_brutal, segs_brutal, wpadmins, wpengine_backup dan wpenginer untuk memuat naik pemalam dan tema berniat jahat melalui panel pentadbir tapak web. Ahli Ultimate dinasihatkan untuk melumpuhkan pemalam sehingga tampung penuh untuk kelemahan ini tersedia.
Pautan sumber
![[Video] Majlis Penutupan Pameran Pencapaian Kebangsaan pada Petang 15 September 2025](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/15/a85c829960f340789cb947f8b5709fa8)
![[Foto] Setiausaha Agung Kepada Lam mempengerusikan sesi kerja dengan Jawatankuasa Tetap Jawatankuasa Parti Kementerian Luar Negeri](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/15/f26e945b18984e8a99ef82e5ac7b5e7d)
![[Foto] Perdana Menteri Pham Minh Chinh menghadiri majlis penutupan pameran pencapaian negara "80 tahun perjalanan Kemerdekaan - Kebebasan - Kebahagiaan"](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/15/a1615e5ee94c49189837fdf1843cfd11)
![[Live] Penutupan Pameran Pencapaian Kebangsaan "80 Tahun Perjalanan Kemerdekaan - Kebebasan dan Kebahagiaan"](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/9/15/de7064420213454aa606941f720ea20d)
Komen (0)