The Hacker News'e göre, CVE-2023-3460 (CVSS puanı 9.8) olarak izlenen güvenlik açığı, 29 Haziran 2023'te yayınlanan en son sürüm (2.6.6) dahil olmak üzere Ultimate Member eklentisinin tüm sürümlerinde mevcut.
Ultimate Member, WordPress web sitelerinde kullanıcı profilleri ve toplulukları oluşturmak için popüler bir eklentidir. Ayrıca hesap yönetimi özellikleri de sunar.
WPScan - WordPress güvenlik şirketi, bu güvenlik açığının o kadar ciddi olduğunu, saldırganların yönetici ayrıcalıklarına sahip yeni kullanıcı hesapları oluşturmak için bunları kullanabileceğini ve böylece bilgisayar korsanlarının etkilenen web siteleri üzerinde tam kontrol sahibi olabileceğini söyledi.
Ultimate Member, 200.000'den fazla web sitesinin kullandığı popüler bir eklentidir.
Güvenlik açığının ayrıntıları, kötüye kullanım endişeleri nedeniyle gizli tutuluyor. Wordfence güvenlik uzmanları, eklentinin kullanıcıların güncelleyemeyeceği yasaklı anahtarların bir listesine sahip olmasına rağmen, eklentinin sürümlerinde sağlanan değerlerde eğik çizgi veya karakter kodlaması kullanmak gibi filtreleri aşmanın basit yolları olduğunu belirtiyor.
Güvenlik açığı, etkilenen web sitelerine sahte yönetici hesapları eklendiğine dair raporların ardından ortaya çıktı. Bu durum, eklenti geliştiricilerini 2.6.4, 2.6.5 ve 2.6.6 sürümlerinde kısmi düzeltmeler yayınlamaya yöneltti. Önümüzdeki günlerde yeni bir güncelleme bekleniyor.
Ultimate Member, yeni sürümde ayrıcalık yükseltme güvenlik açığının UM Forms aracılığıyla kullanıldığını ve yetkisiz bir kişinin yönetici düzeyinde bir WordPress kullanıcısı oluşturmasına olanak tanıdığını belirtti. Ancak WPScan, yamaların eksik olduğunu ve bunları aşmanın birden fazla yolunu bulduğunu, bu da hatanın hala istismar edilebileceği anlamına geldiğini belirtti.
Bu güvenlik açığı, apads, se_brutal, segs_brutal, wpadmins, wpengine_backup ve wpenginer adlarıyla yeni hesaplar kaydederek web sitesinin yönetici paneli üzerinden kötü amaçlı eklentiler ve temalar yüklemek için kullanılıyor. Ultimate Üyelerin, bu güvenlik açığı için tam bir yama yayınlanana kadar eklentileri devre dışı bırakmaları önerilir.
[reklam_2]
Kaynak bağlantısı
![[Fotoğraf] Genel Sekreter To Lam, Rusya Devlet Başkanı Yardımcısı ve Rusya Federal Denizcilik Konseyi Başkanı Nicolai Patrushev'i kabul etti](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/16/813bd944b92d4b14b04b6f9e2ef4109b)
![[Fotoğraf] Genel Sekreter To Lam, Politbüro'nun 4 Kararını yaymak ve uygulamak için düzenlenen Ulusal Konferansa katılıyor](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/16/70c6a8ceb60a4f72a0cacf436c1a6b54)
![[Fotoğraf] Başbakan Pham Minh Chinh, Doğu Timor Dışişleri ve İşbirliği Bakanı'nı kabul etti](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/16/b0e99fd9a05846e4b6948c785d51d51f)
![[Fotoğraf] Politbüro'nun 4 Kararının yaygınlaştırılması ve uygulanması için ulusal konferans](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/16/5996b8d8466e41558c7abaa7a749f0e6)
Yorum (0)