Sikkerhetshull setter 200 000 WordPress-nettsteder i fare

Ifølge The Hacker News finnes sårbarheten, sporet som CVE-2023-3460 (CVSS-poengsum 9,8), i alle versjoner av Ultimate Member-pluginen (utvidelsen), inkludert den nyeste versjonen (2.6.6) som ble utgitt 29. juni 2023.

Ultimate Member er en populær plugin for å opprette brukerprofiler og fellesskap på WordPress-nettsteder. Den tilbyr også funksjoner for kontoadministrasjon.

WPScan – et WordPress-sikkerhetsselskap – sa at denne sikkerhetsfeilen er så alvorlig at angripere kan utnytte den til å opprette nye brukerkontoer med administratorrettigheter, noe som gir hackere full kontroll over berørte nettsteder.

Detaljer om sårbarheten har blitt holdt tilbake på grunn av bekymringer om misbruk. Sikkerhetseksperter fra Wordfence beskriver at selv om plugin-modulen har en liste over forbudte nøkler som brukere ikke kan oppdatere, finnes det enkle måter å omgå filtrene på, for eksempel å bruke skråstreker eller tegnkoding i verdiene som er gitt i versjoner av plugin-modulen.

Sikkerhetsfeilen ble annonsert etter rapporter om at falske administratorkontoer ble lagt til berørte nettsteder. Dette fikk plugin-utviklerne til å gi ut delvise rettelser i versjon 2.6.4, 2.6.5 og 2.6.6. En ny oppdatering forventes i løpet av de kommende dagene.

Ultimate Member sa i den nye utgivelsen at sårbarheten for privilegieeskalering ble brukt gjennom UM Forms, slik at en utenforstående kunne opprette en WordPress-bruker på administratornivå. WPScan påpekte imidlertid at oppdateringene var ufullstendige og fant flere måter å omgå dem på, noe som betyr at feilen fortsatt kunne utnyttes.

Sårbarheten brukes til å registrere nye kontoer under navnene apads, se_brutal, segs_brutal, wpadmins, wpengine_backup og wpenginer for å laste opp skadelige programtillegg og temaer gjennom nettstedets administrasjonspanel. Ultimate-medlemmer anbefales å deaktivere programtillegg inntil en fullstendig oppdatering for denne sårbarheten er tilgjengelig.