Menurut The Hacker News , kerentanan, yang dijejaki sebagai CVE-2023-3460 (skor CVSS 9.8), wujud dalam semua versi pemalam Ahli Ultimate (sambungan), termasuk versi terkini (2.6.6) yang dikeluarkan pada 29 Jun 2023.
Ultimate Member ialah pemalam popular untuk mencipta profil pengguna dan komuniti di laman web WordPress. Ia juga menawarkan ciri pengurusan akaun.
WPScan - Syarikat keselamatan WordPress berkata kecacatan keselamatan ini sangat serius sehingga penyerang boleh mengeksploitasi mereka untuk mencipta akaun pengguna baharu dengan keistimewaan pentadbiran, memberikan penggodam kawalan sepenuhnya ke atas tapak web yang terjejas.
Ultimate Member ialah pemalam popular dengan lebih 200,000 tapak web menggunakannya.
Butiran tentang kerentanan telah ditahan kerana kebimbangan mengenai penderaan. Pakar keselamatan dari Wordfence menerangkan bahawa walaupun pemalam mempunyai senarai kunci terlarang yang tidak boleh dikemas kini oleh pengguna, terdapat cara mudah untuk memintas penapis seperti menggunakan garis miring atau pengekodan aksara dalam nilai yang disediakan dalam versi pemalam.
Kepincangan keselamatan itu diumumkan selepas laporan akaun pentadbir palsu ditambahkan pada tapak web yang terjejas. Ini mendorong pembangun pemalam untuk mengeluarkan pembetulan separa dalam versi 2.6.4, 2.6.5 dan 2.6.6. Kemas kini baharu dijangka dalam beberapa hari akan datang.
Ultimate Member berkata dalam keluaran baharu bahawa kerentanan peningkatan keistimewaan telah digunakan melalui Borang UM, membenarkan orang luar mencipta pengguna WordPress peringkat pentadbir. Walau bagaimanapun, WPScan menegaskan bahawa patch tidak lengkap dan menemui pelbagai cara untuk memintasnya, bermakna pepijat masih boleh dieksploitasi.
Kerentanan sedang digunakan untuk mendaftarkan akaun baharu di bawah nama apads, se_brutal, segs_brutal, wpadmins, wpengine_backup dan wpenginer untuk memuat naik pemalam dan tema berniat jahat melalui panel pentadbir tapak web. Ahli Ultimate dinasihatkan untuk melumpuhkan pemalam sehingga tampung penuh untuk kelemahan ini tersedia.
Pautan sumber
![[Foto] Setiausaha Agung Kepada Lam menghadiri Persidangan Ekonomi Peringkat Tinggi Vietnam-UK](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761825773922_anh-1-3371-jpg.webp)
![[Foto] Perdana Menteri Pham Minh Chinh menghadiri Majlis Anugerah Akhbar Kebangsaan ke-5 untuk mencegah dan memerangi rasuah, pembaziran dan negatif](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761881588160_dsc-8359-jpg.webp)
![[Foto] Kongres Emulasi Patriotik Ketiga Suruhanjaya Hal Ehwal Dalam Negeri Pusat](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761831176178_dh-thi-dua-yeu-nuoc-5076-2710-jpg.webp)
Komen (0)