Säkerhetshål sätter 200 000 WordPress-webbplatser i fara

Enligt The Hacker News finns sårbarheten, spårad som CVE-2023-3460 (CVSS-poäng 9.8), i alla versioner av Ultimate Member-pluginet (tillägget), inklusive den senaste versionen (2.6.6) som släpptes den 29 juni 2023.

Ultimate Member är ett populärt plugin för att skapa användarprofiler och communities på WordPress-webbplatser. Det erbjuder även funktioner för kontohantering.

WPScan – ett WordPress-säkerhetsföretag – sa att säkerhetsbristen är så allvarlig att angripare kan utnyttja den för att skapa nya användarkonton med administratörsbehörighet, vilket ger hackare fullständig kontroll över drabbade webbplatser.

Detaljer om sårbarheten har undanhållits på grund av oro för missbruk. Säkerhetsexperter från Wordfence beskriver att även om pluginet har en lista över förbjudna nycklar som användare inte kan uppdatera, finns det enkla sätt att kringgå filtren, till exempel att använda snedstreck eller teckenkodning i de värden som anges i versioner av pluginet.

Säkerhetsbristen tillkännagavs efter rapporter om att falska administratörskonton hade lagts till på berörda webbplatser. Detta fick plugin-utvecklarna att släppa delvisa korrigeringar i versionerna 2.6.4, 2.6.5 och 2.6.6. En ny uppdatering förväntas inom de närmaste dagarna.

Ultimate Member uppgav i den nya utgåvan att sårbarheten för privilegieeskalering användes via UM Forms, vilket gjorde det möjligt för en utomstående att skapa en WordPress-användare på administratörsnivå. WPScan påpekade dock att patcharna var ofullständiga och hittade flera sätt att kringgå dem, vilket innebär att buggen fortfarande kunde utnyttjas.

Sårbarheten används för att registrera nya konton under namnen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup och wpenginer för att ladda upp skadliga plugin-program och teman via webbplatsens administratörspanel. Ultimate-medlemmar rekommenderas att inaktivera plugin-program tills en fullständig patch för denna sårbarhet finns tillgänglig.