Według serwisu The Hacker News luka oznaczona numerem CVE-2023-3460 (wynik CVSS 9,8) występuje we wszystkich wersjach wtyczki Ultimate Member, w tym w najnowszej wersji (2.6.6) wydanej 29 czerwca 2023 r.
Ultimate Member to popularna wtyczka do tworzenia profili użytkowników i społeczności w witrynach WordPress. Oferuje również funkcje zarządzania kontem.
WPScan - Firma zajmująca się bezpieczeństwem WordPressa stwierdziła, że ta luka w zabezpieczeniach jest na tyle poważna, że atakujący mogą ją wykorzystać do tworzenia nowych kont użytkowników z uprawnieniami administratora, co zapewniłoby im pełną kontrolę nad zainfekowanymi stronami internetowymi.
Ultimate Member to popularna wtyczka, z której korzysta ponad 200 000 stron internetowych.
Szczegóły dotyczące luki w zabezpieczeniach nie zostały ujawnione z powodu obaw o nadużycia. Eksperci ds. bezpieczeństwa z Wordfence opisują, że chociaż wtyczka zawiera listę zablokowanych kluczy, których użytkownicy nie mogą aktualizować, istnieją proste sposoby na ominięcie filtrów, takie jak użycie ukośników lub kodowania znaków w wartościach podanych w wersjach wtyczki.
Luka w zabezpieczeniach została ujawniona po doniesieniach o dodawaniu fałszywych kont administratorów do zagrożonych witryn. To skłoniło twórców wtyczki do wydania częściowych poprawek w wersjach 2.6.4, 2.6.5 i 2.6.6. Nowa aktualizacja jest spodziewana w najbliższych dniach.
Firma Ultimate Member poinformowała w nowej wersji, że luka w zabezpieczeniach umożliwiająca eskalację uprawnień została wykorzystana w usłudze UM Forms, umożliwiając nieautoryzowanej osobie utworzenie konta użytkownika WordPress z uprawnieniami administratora. WPScan wskazał jednak, że poprawki były niekompletne i znalazł wiele sposobów na ich obejście, co oznacza, że błąd nadal może zostać wykorzystany.
Luka służy do rejestrowania nowych kont pod nazwami apads, se_brutal, segs_brutal, wpadmins, wpengine_backup i wpenginer, co umożliwia przesyłanie złośliwych wtyczek i motywów za pośrednictwem panelu administracyjnego witryny. Użytkownikom konta Ultimate zaleca się wyłączenie wtyczek do czasu udostępnienia pełnej poprawki eliminującej tę lukę.
Link źródłowy
![[Zdjęcie] Sekretarz generalny To Lam przewodniczy sesji roboczej Stałego Komitetu Komitetu Partii Rządowej](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/17/cf3d855fdc974fa9a45e80d380b0eb7c)
Komentarz (0)