Діра в безпеці ставить під загрозу 200 000 вебсайтів WordPress

Згідно з The Hacker News , вразливість, що відстежується як CVE-2023-3460 (оцінка CVSS 9.8), існує у всіх версіях плагіна (розширення) Ultimate Member, включаючи останню версію (2.6.6), випущену 29 червня 2023 року.

Ultimate Member – це популярний плагін для створення профілів користувачів та спільнот на веб-сайтах WordPress. Він також пропонує функції керування обліковими записами.

WPScan — компанія з розробки безпеки WordPress заявила, що цей недолік у безпеці настільки серйозний, що зловмисники можуть використовувати його для створення нових облікових записів користувачів з правами адміністратора, надаючи хакерам повний контроль над ураженими вебсайтами.

Деталі вразливості не розголошуються через побоювання щодо зловживань. Експерти з безпеки з Wordfence зазначають, що хоча плагін має список заборонених ключів, які користувачі не можуть оновлювати, існують прості способи обійти фільтри, такі як використання склесів або кодування символів у значеннях, що надаються у версіях плагіна.

Про недолік безпеки було оголошено після повідомлень про додавання фальшивих облікових записів адміністраторів на уражені веб-сайти. Це спонукало розробників плагіна випустити часткові виправлення у версіях 2.6.4, 2.6.5 та 2.6.6. Нове оновлення очікується найближчими днями.

У новому випуску Ultimate Member повідомив, що вразливість ескалації привілеїв використовувалася через UM Forms, що дозволяло сторонній особі створювати користувача WordPress з правами адміністратора. Однак WPScan зазначив, що виправлення були неповними, і знайшов кілька способів їх обійти, а це означає, що помилку все ще можна використовувати.

Ця вразливість використовується для реєстрації нових облікових записів під іменами apads, se_brutal, segs_brutal, wpadmins, wpengine_backup та wpenginer для завантаження шкідливих плагінів та тем через адміністративну панель веб-сайту. Учасникам Ultimate рекомендується вимикати плагіни, доки не буде доступне повне виправлення для цієї вразливості.