Conform The Hacker News , vulnerabilitatea, înregistrată ca CVE-2023-3460 (scor CVSS 9,8), există în toate versiunile pluginului (extensiei) Ultimate Member, inclusiv în cea mai recentă versiune (2.6.6) lansată pe 29 iunie 2023.
Ultimate Member este un plugin popular pentru crearea de profiluri de utilizator și comunități pe site-uri web WordPress. De asemenea, oferă funcții de gestionare a contului.
WPScan - o companie de securitate WordPress, a declarat că această vulnerabilitate de securitate este atât de gravă încât atacatorii o pot exploata pentru a crea noi conturi de utilizator cu privilegii administrative, oferind hackerilor control complet asupra site-urilor web afectate.
Ultimate Member este un plugin popular, utilizat de peste 200.000 de site-uri web.
Detaliile vulnerabilității au fost reținute din cauza îngrijorărilor legate de abuz. Experții în securitate de la Wordfence descriu că, deși pluginul are o listă de chei interzise pe care utilizatorii nu le pot actualiza, există modalități simple de a ocoli filtrele, cum ar fi utilizarea barelor oblice sau a codării caracterelor în valorile furnizate în versiunile pluginului.
Defectul de securitate a fost anunțat după ce au apărut rapoarte despre adăugarea de conturi false de administrator pe site-urile web afectate. Acest lucru i-a determinat pe dezvoltatorii pluginului să lanseze remedieri parțiale în versiunile 2.6.4, 2.6.5 și 2.6.6. O nouă actualizare este așteptată în următoarele zile.
Ultimate Member a declarat în noua versiune că vulnerabilitatea de escaladare a privilegiilor a fost utilizată prin UM Forms, permițând unui utilizator extern să creeze un utilizator WordPress la nivel de administrator. Cu toate acestea, WPScan a subliniat că patch-urile erau incomplete și a găsit mai multe modalități de a le ocoli, ceea ce înseamnă că eroarea ar putea fi încă exploatată.
Vulnerabilitatea este utilizată pentru a înregistra conturi noi sub numele apads, se_brutal, segs_brutal, wpadmins, wpengine_backup și wpenginer pentru a încărca pluginuri și teme rău intenționate prin intermediul panoului de administrare al site-ului web. Membrii Ultimate sunt sfătuiți să dezactiveze pluginurile până când va fi disponibil un patch complet pentru această vulnerabilitate.
Legătură sursă
![[Foto] Prim-ministrul Pham Minh Chinh prezidează prima reuniune a Comitetului director central pentru politica locuințelor și piața imobiliară](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/22/c0f42b88c6284975b4bcfcf5b17656e7)
![[Foto] Secretarul general To Lam înmânează Medalia Muncii de Clasa I Grupului Național pentru Energie și Industrie din Vietnam](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/21/0ad2d50e1c274a55a3736500c5f262e5)
Comentariu (0)