Volgens The Hacker News bestaat de kwetsbaarheid, die is geregistreerd als CVE-2023-3460 (CVSS-score 9,8), in alle versies van de Ultimate Member-plug-in (extensie), inclusief de nieuwste versie (2.6.6) die op 29 juni 2023 is uitgebracht.
Ultimate Member is een populaire plugin voor het aanmaken van gebruikersprofielen en communities op WordPress-websites. Het biedt ook functies voor accountbeheer.
Volgens WPScan, een beveiligingsbedrijf voor WordPress, is dit beveiligingslek zo ernstig dat aanvallers er misbruik van kunnen maken om nieuwe gebruikersaccounts met beheerdersrechten aan te maken. Zo krijgen hackers volledige controle over de getroffen websites.
Ultimate Member is een populaire plugin die door meer dan 200.000 websites wordt gebruikt.
Details over de kwetsbaarheid zijn achtergehouden vanwege zorgen over misbruik. Beveiligingsexperts van Wordfence beschrijven dat de plugin weliswaar een lijst met geblokkeerde sleutels bevat die gebruikers niet kunnen bijwerken, maar dat er eenvoudige manieren zijn om de filters te omzeilen, zoals het gebruik van slashes of tekencodering in de waarden die in versies van de plugin worden aangeboden.
Het beveiligingslek werd aangekondigd na meldingen van nep-beheerdersaccounts die aan de getroffen websites werden toegevoegd. Dit was voor de ontwikkelaars van de plugin aanleiding om gedeeltelijke oplossingen uit te brengen in versie 2.6.4, 2.6.5 en 2.6.6. Een nieuwe update wordt binnenkort verwacht.
Ultimate Member meldde in de nieuwe release dat de kwetsbaarheid voor privilege-escalatie werd misbruikt via UM Forms, waardoor een buitenstaander een WordPress-gebruiker op beheerdersniveau kon aanmaken. WPScan wees er echter op dat de patches onvolledig waren en vond meerdere manieren om ze te omzeilen, wat betekent dat de bug nog steeds misbruikt kon worden.
De kwetsbaarheid wordt gebruikt om nieuwe accounts te registreren onder de namen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup en wpengineer om schadelijke plugins en thema's te uploaden via het admin-paneel van de website. Ultimate-leden wordt geadviseerd plugins uit te schakelen totdat er een volledige patch voor deze kwetsbaarheid beschikbaar is.
Bronlink
![[Foto] Premier Pham Minh Chinh woont de 5e Nationale Persprijzenceremonie bij, ter bestrijding van corruptie, verspilling en negativiteit](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761881588160_dsc-8359-jpg.webp)
![[Foto] Da Nang: Water trekt zich geleidelijk terug, lokale autoriteiten maken gebruik van de schoonmaakactie](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761897188943_ndo_tr_2-jpg.webp)
Reactie (0)