De acordo com o The Hacker News , a vulnerabilidade, rastreada como CVE-2023-3460 (pontuação CVSS 9.8), existe em todas as versões do plugin (extensão) Ultimate Member, incluindo a versão mais recente (2.6.6) lançada em 29 de junho de 2023.
Ultimate Member é um plugin popular para criar perfis de usuário e comunidades em sites WordPress. Ele também oferece recursos de gerenciamento de contas.
A WPScan, empresa de segurança do WordPress, afirmou que essa falha de segurança é tão grave que os invasores podem explorá-la para criar novas contas de usuário com privilégios administrativos, dando aos hackers controle total sobre os sites afetados.
Ultimate Member é um plugin popular, utilizado em mais de 200.000 sites.
Os detalhes da vulnerabilidade foram mantidos em sigilo devido a preocupações com possíveis abusos. Especialistas em segurança da Wordfence explicam que, embora o plugin possua uma lista de chaves proibidas que os usuários não podem atualizar, existem maneiras simples de contornar os filtros, como o uso de barras ou codificação de caracteres nos valores fornecidos nas versões do plugin.
A falha de segurança foi anunciada após relatos de contas de administrador falsas sendo adicionadas a sites afetados. Isso levou os desenvolvedores do plugin a lançarem correções parciais nas versões 2.6.4, 2.6.5 e 2.6.6. Uma nova atualização é esperada nos próximos dias.
A Ultimate Member afirmou no novo comunicado que a vulnerabilidade de escalonamento de privilégios foi explorada por meio do UM Forms, permitindo que um invasor criasse um usuário do WordPress com privilégios de administrador. No entanto, o WPScan apontou que as correções estavam incompletas e encontrou diversas maneiras de contorná-las, o que significa que a falha ainda pode ser explorada.
A vulnerabilidade está sendo explorada para registrar novas contas com os nomes apads, se_brutal, segs_brutal, wpadmins, wpengine_backup e wpenginer, com o objetivo de fazer o upload de plugins e temas maliciosos através do painel de administração do site. Recomenda-se que os membros Ultimate desativem os plugins até que uma correção completa para essa vulnerabilidade esteja disponível.
Link da fonte
![[Foto] Da Nang: As águas recuam gradualmente e as autoridades locais aproveitam a situação para realizar a limpeza.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761897188943_ndo_tr_2-jpg.webp)
![[Foto] O primeiro-ministro Pham Minh Chinh participa da 5ª Cerimônia Nacional de Premiação da Imprensa sobre a prevenção e o combate à corrupção, ao desperdício e à negatividade.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761881588160_dsc-8359-jpg.webp)
Comentário (0)