Згідно з The Hacker News , вразливість з кодом відстеження CVE-2023-3460 (оцінка CVSS 9.8) існує у всіх версіях плагіна (розширення) Ultimate Member, включаючи останню версію (2.6.6), випущену 29 червня 2023 року.
Ultimate Member – це популярний плагін, який допомагає створювати профілі користувачів та спільноти на веб-сайтах WordPress. Ця утиліта також надає функції керування обліковими записами.
WPScan, компанія з розробки безпеки для WordPress, заявила, що ця вразливість є дуже серйозною та дозволяє зловмисникам використовувати її для створення нових облікових записів користувачів з правами адміністратора, надаючи хакерам повний контроль над ураженими вебсайтами.
Ultimate Member – це популярний плагін, який використовують понад 200 000 вебсайтів.
Деталі про вразливість не розголошувалися через побоювання щодо зловживань. Експерти з безпеки з Wordfence повідомили, що хоча плагін має список заборонених ключів, які користувачі не можуть оновлювати, існують прості способи обійти фільтри, такі як використання прямих склесів або кодування символів у значеннях, що надаються у версіях плагіна.
Цю вразливість безпеки було виявлено після появи повідомлень про додавання фальшивих облікових записів адміністраторів на уражені веб-сайти. Це спонукало розробників плагінів випустити часткові виправлення у версіях 2.6.4, 2.6.5 та 2.6.6. Очікується, що нове оновлення вийде найближчими днями.
У своєму останньому випуску Ultimate Member заявив, що вразливість ескалації привілеїв, яка використовується через UM Forms, дозволяє неавторизованим особам створювати користувачів WordPress з правами адміністратора. Однак WPScan зазначив, що виправлення є неповними, і було знайдено кілька способів їх обійти, а це означає, що вразливість залишається доступною для використання.
Цю вразливість використовують для реєстрації нових облікових записів під іменами apads, se_brutal, segs_brutal, wpadmins, wpengine_backup та wpenginer з метою завантаження шкідливих плагінів та тем через адміністративну панель веб-сайту. Користувачам з максимальним учасником слід вимикати плагіни, доки цю вразливість не буде повністю виправлено.
Посилання на джерело
![[Зображення] Суднобудівники піддаються впливу сталі та рекордної спеки.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/04/1780545781745_ndo_br_img-5402-4683-jpg.webp)
![[Відео] Захід сонця в лагуні Лап Ан – де сонце заходить над рибальськими сітками](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/31/1780192137701_beach-landscape-sea-water-nature-grass-745871-pxhere-com.jpeg)
Коментар (0)