Hacker News'e göre, CVE-2023-3460 izleme koduna sahip (CVSS puanı 9.8) bu güvenlik açığı, 29 Haziran 2023'te yayınlanan en son sürüm (2.6.6) dahil olmak üzere Ultimate Member eklentisinin (uzantısının) tüm sürümlerinde mevcuttur.
Ultimate Member, WordPress web sitelerinde kullanıcı profilleri ve topluluklar oluşturmaya yardımcı olan popüler bir eklentidir. Bu araç ayrıca hesap yönetimi özellikleri de sunmaktadır.
WordPress güvenlik şirketi WPScan, bu güvenlik açığının çok ciddi olduğunu ve saldırganların bu açığı kullanarak yönetici ayrıcalıklarına sahip yeni kullanıcı hesapları oluşturabileceğini, böylece etkilenen web siteleri üzerinde tam kontrol sahibi olabileceklerini belirtti.
Ultimate Member, 200.000'den fazla web sitesi tarafından kullanılan popüler bir eklentidir.
Kötüye kullanım endişeleri nedeniyle güvenlik açığına ilişkin ayrıntılar gizli tutuldu. Wordfence güvenlik uzmanları, eklentinin kullanıcıların güncelleyemeyeceği yasaklı anahtarlar listesine sahip olmasına rağmen, eklentinin sürümlerinde sağlanan değerlerde eğik çizgiler veya karakter kodlaması kullanmak gibi filtreleri atlatmanın basit yolları olduğunu açıkladı.
Bu güvenlik açığı, etkilenen web sitelerine sahte yönetici hesaplarının eklendiğine dair raporların ortaya çıkmasının ardından ifşa edildi. Bu durum, eklenti geliştiricilerini 2.6.4, 2.6.5 ve 2.6.6 sürümlerinde kısmi düzeltmeler yayınlamaya sevk etti. Önümüzdeki günlerde yeni bir güncellemenin yayınlanması bekleniyor.
Ultimate Member son açıklamasında, UM Forms aracılığıyla istismar edilen bir ayrıcalık yükseltme güvenlik açığının, yetkisiz kişilerin yönetici düzeyinde WordPress kullanıcıları oluşturmasına olanak tanıdığını belirtti. Ancak WPScan, yamaların eksik olduğunu ve bunları atlatmanın çeşitli yöntemlerinin bulunduğunu, yani güvenlik açığının hala istismar edilebilir olduğunu vurguladı.
Bu güvenlik açığı, apads, se_brutal, segs_brutal, wpadmins, wpengine_backup ve wpenginer adlarıyla yeni hesaplar oluşturmak ve web sitesinin yönetim paneli üzerinden kötü amaçlı eklentiler ve temalar yüklemek için kullanılıyor. Ultimate Member kullanıcılarının, bu güvenlik açığı tamamen giderilene kadar eklentileri devre dışı bırakmaları gerekmektedir.
[reklam_2]
Kaynak bağlantısı
![[Fotoğraf] Genel Sekreter ve Cumhurbaşkanı To Lam, üç kademeli hükümet sisteminin bir yıllık işleyişinin değerlendirilmesine yönelik hazırlıklar hakkındaki toplantıya başkanlık ediyor.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/02/1780391821195_a1-bnd-4595-9717-jpg.webp)
Yorum (0)