De acordo com o The Hacker News , a vulnerabilidade, rastreada como CVE-2023-3460 (pontuação CVSS 9.8), existe em todas as versões do plugin Ultimate Member, incluindo a versão mais recente (2.6.6) lançada em 29 de junho de 2023.
Ultimate Member é um plugin popular para criar perfis de usuários e comunidades em sites WordPress. Ele também oferece recursos de gerenciamento de contas.
WPScan - A empresa de segurança WordPress disse que essa falha de segurança é tão séria que os invasores podem explorá-la para criar novas contas de usuário com privilégios administrativos, dando aos hackers controle total sobre os sites afetados.
Ultimate Member é um plugin popular que é utilizado por mais de 200.000 sites.
Detalhes da vulnerabilidade foram omitidos devido a preocupações com abuso. Especialistas em segurança do Wordfence descrevem que, embora o plugin tenha uma lista de chaves banidas que os usuários não podem atualizar, existem maneiras simples de contornar os filtros, como usar barras ou codificação de caracteres no valor fornecido nas versões do plugin.
A falha de segurança foi revelada após relatos de contas de administrador falsas sendo adicionadas aos sites afetados. Isso levou os desenvolvedores do plugin a lançar correções parciais nas versões 2.6.4, 2.6.5 e 2.6.6. Uma nova atualização é esperada nos próximos dias.
O Ultimate Member afirmou na nova versão que a vulnerabilidade de escalonamento de privilégios foi usada por meio do UM Forms, permitindo que uma pessoa não autorizada criasse um usuário do WordPress com nível de administrador. No entanto, a WPScan apontou que os patches estavam incompletos e encontrou diversas maneiras de contorná-los, o que significa que o bug ainda poderia ser explorado.
A vulnerabilidade está sendo usada para registrar novas contas com os nomes apads, se_brutal, segs_brutal, wpadmins, wpengine_backup e wpenginer para enviar plugins e temas maliciosos por meio do painel de administração do site. Membros Ultimate são aconselhados a desativar os plugins até que um patch completo para esta vulnerabilidade esteja disponível.
Link da fonte
![[Foto] O Secretário-Geral To Lam comparece ao 80º aniversário do Estado-Maior do Exército Popular do Vietnã](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/6/126697ab3e904fd68a2a510323659767)
![[Foto] O primeiro-ministro Pham Minh Chinh comparece ao 80º aniversário do Grupo de Correios e Telecomunicações do Vietnã](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/6/39a89e5461774c2ca64c006d227c6a4e)
![[Foto] 80º aniversário do Estado-Maior do Exército Popular do Vietnã](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/6/49153e2a2ffc43b7b5b5396399b0c471)
![[Foto] Resgate de pessoas em áreas inundadas no sopé do Passo Prenn durante a noite](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/6/19095b01eb844de98c406cc135b2f96c)
![[Foto] Muitas pessoas vivenciam diretamente o amado Tio Ho e os Secretários Gerais](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/6/2f4d9a1c1ef14be3933dbef3cd5403f6)
![[EM BREVE] Workshop: Resolvendo as preocupações das famílias empresárias sobre a eliminação do imposto único](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/9/7/5627bb2d0c3349f2bf26accd8ca6dbc2)
Comentário (0)