Согласно Hacker News , уязвимость с кодом отслеживания CVE-2023-3460 (оценка CVSS 9.8) присутствует во всех версиях плагина Ultimate Member (расширения), включая последнюю версию (2.6.6), выпущенную 29 июня 2023 года.
Ultimate Member — популярный плагин, помогающий создавать профили пользователей и сообщества на сайтах WordPress. Эта утилита также предоставляет функции управления учетными записями.
Компания WPScan, специализирующаяся на безопасности WordPress, заявила, что эта уязвимость является очень серьезной, поскольку позволяет злоумышленникам создавать новые учетные записи пользователей с административными привилегиями, предоставляя хакерам полный контроль над затронутыми веб-сайтами.
Ultimate Member — популярный плагин, используемый более чем 200 000 веб-сайтов.
Подробности об уязвимости были засекречены из-за опасений по поводу злоупотреблений. Эксперты по безопасности из Wordfence описали, что, хотя плагин содержит список запрещенных ключей, который пользователи не могут обновить, существуют простые способы обойти фильтры, например, используя косые черты или кодировку символов в значениях, предоставляемых в версиях плагина.
Эта уязвимость безопасности была обнаружена после сообщений о добавлении поддельных учетных записей администраторов на затронутые веб-сайты. Это побудило разработчиков плагина выпустить частичные исправления в версиях 2.6.4, 2.6.5 и 2.6.6. Ожидается, что новое обновление будет выпущено в ближайшие дни.
В своем последнем релизе компания Ultimate Member заявила об уязвимости повышения привилегий, используемой через UM Forms, которая позволяет неавторизованным лицам создавать учетные записи WordPress с правами администратора. Однако WPScan отметила, что исправления неполные, и было найдено несколько способов их обхода, а это значит, что уязвимость остается эксплуатируемой.
Уязвимость используется для регистрации новых учетных записей под именами apads, se_brutal, segs_brutal, wpadmins, wpengine_backup и wpenginer с целью загрузки вредоносных плагинов и тем через панель администратора сайта. Пользователям Ultimate Member следует отключить плагины до полного устранения этой уязвимости.
Ссылка на источник
![[Фото] Генеральный секретарь и президент То Лам председательствует на совещании по подготовке к обзору результатов работы трехступенчатой системы управления за первый год.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/02/1780391821195_a1-bnd-4595-9717-jpg.webp)
Комментарий (0)