Według serwisu The Hacker News luka oznaczona numerem CVE-2023-3460 (wynik CVSS 9,8) występuje we wszystkich wersjach wtyczki (rozszerzenia) Ultimate Member, w tym w najnowszej wersji (2.6.6) wydanej 29 czerwca 2023 r.
Ultimate Member to popularna wtyczka do tworzenia profili użytkowników i społeczności w witrynach WordPress. Oferuje również funkcje zarządzania kontem.
WPScan - Firma zajmująca się bezpieczeństwem WordPressa stwierdziła, że ta luka w zabezpieczeniach jest na tyle poważna, że atakujący mogą ją wykorzystać do tworzenia nowych kont użytkowników z uprawnieniami administratora, co zapewniłoby im pełną kontrolę nad zainfekowanymi stronami internetowymi.
Ultimate Member to popularna wtyczka, z której korzysta ponad 200 000 stron internetowych.
Szczegóły dotyczące luki w zabezpieczeniach nie zostały ujawnione z powodu obaw o nadużycia. Eksperci ds. bezpieczeństwa z Wordfence opisują, że chociaż wtyczka zawiera listę zablokowanych kluczy, których użytkownicy nie mogą aktualizować, istnieją proste sposoby na ominięcie filtrów, takie jak użycie ukośników lub kodowania znaków w wartościach podanych w wersjach wtyczki.
Luka w zabezpieczeniach została ogłoszona po doniesieniach o dodawaniu fałszywych kont administratorów do zagrożonych witryn. To skłoniło twórców wtyczki do wydania częściowych poprawek w wersjach 2.6.4, 2.6.5 i 2.6.6. Nowa aktualizacja jest spodziewana w najbliższych dniach.
Firma Ultimate Member poinformowała w nowej wersji, że luka w zabezpieczeniach umożliwiająca eskalację uprawnień została wykorzystana w formularzach UM, umożliwiając osobie z zewnątrz utworzenie konta użytkownika WordPress z uprawnieniami administratora. WPScan wskazał jednak, że poprawki były niekompletne i znalazł wiele sposobów na ich obejście, co oznacza, że błąd nadal może zostać wykorzystany.
Luka służy do rejestrowania nowych kont pod nazwami apads, se_brutal, segs_brutal, wpadmins, wpengine_backup i wpenginer, co umożliwia przesyłanie złośliwych wtyczek i motywów za pośrednictwem panelu administracyjnego witryny. Użytkownikom konta Ultimate zaleca się wyłączenie wtyczek do czasu udostępnienia pełnej poprawki eliminującej tę lukę.
Link źródłowy
![[Zdjęcie] Prezydent Luong Cuong przyjmuje sekretarza wojny USA Pete’a Hegsetha](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/02/1762089839868_ndo_br_1-jpg.webp)
![[Zdjęcie] Lam Dong: Zdjęcia zniszczeń po podejrzeniu pęknięcia jeziora w Tuy Phong](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/02/1762078736805_8e7f5424f473782d2162-5118-jpg.webp)
Komentarz (0)