دی ہیکر نیوز کے مطابق، کمزوری، جسے CVE-2023-3460 (CVSS سکور 9.8) کے طور پر ٹریک کیا گیا ہے، الٹیمیٹ ممبر پلگ ان کے تمام ورژنز میں موجود ہے، بشمول 29 جون 2023 کو جاری کردہ تازہ ترین ورژن (2.6.6)۔
الٹیمیٹ ممبر ورڈپریس ویب سائٹس پر صارف پروفائلز اور کمیونٹیز بنانے کے لیے ایک مقبول پلگ ان ہے۔ یہ اکاؤنٹ مینجمنٹ کی خصوصیات بھی پیش کرتا ہے۔
WPScan - ورڈپریس سیکیورٹی کمپنی نے کہا کہ یہ سیکیورٹی خامی اس قدر سنگین ہے کہ حملہ آور ان کا فائدہ اٹھا کر انتظامی مراعات کے ساتھ نئے صارف اکاؤنٹس بنا سکتے ہیں، جس سے ہیکرز کو متاثرہ ویب سائٹس پر مکمل کنٹرول حاصل ہے۔
الٹیمیٹ ممبر ایک مقبول پلگ ان ہے جس کا استعمال 200,000 سے زیادہ ویب سائٹس ہے۔
بدسلوکی کے خدشات کی وجہ سے خطرے کی تفصیلات کو روک دیا گیا ہے۔ Wordfence کے سیکورٹی ماہرین بیان کرتے ہیں کہ اگرچہ پلگ ان میں ممنوعہ کلیدوں کی فہرست موجود ہے جسے صارف اپ ڈیٹ نہیں کر سکتے، لیکن فلٹرز کو نظرانداز کرنے کے آسان طریقے ہیں جیسے کہ پلگ ان کے ورژن میں فراہم کردہ ویلیو میں سلیش یا کریکٹر انکوڈنگ کا استعمال۔
سیکیورٹی کی خرابی کا انکشاف متاثرہ ویب سائٹس پر جعلی ایڈمن اکاؤنٹس شامل کیے جانے کی اطلاعات کے بعد ہوا۔ اس نے پلگ ان ڈویلپرز کو ورژن 2.6.4، 2.6.5 اور 2.6.6 میں جزوی اصلاحات جاری کرنے کا اشارہ کیا۔ آنے والے دنوں میں ایک نئی تازہ کاری متوقع ہے۔
الٹیمیٹ ممبر نے نئی ریلیز میں کہا کہ استحقاق میں اضافے کے خطرے کو UM فارمز کے ذریعے استعمال کیا گیا، جس سے ایک غیر مجاز شخص کو ایڈمنسٹریٹر کی سطح کا ورڈپریس صارف بنانے کی اجازت دی گئی۔ تاہم، WPScan نے نشاندہی کی کہ پیچ نامکمل تھے اور ان کو روکنے کے متعدد طریقے تلاش کیے گئے، یعنی بگ کا اب بھی فائدہ اٹھایا جا سکتا ہے۔
ویب سائٹ کے ایڈمن پینل کے ذریعے نقصان دہ پلگ ان اور تھیمز کو اپ لوڈ کرنے کے لیے apads, se_brutal, segs_brutal, wpadmins, wpengine_backup، اور wpenginer کے ناموں سے نئے اکاؤنٹس کو رجسٹر کرنے کے لیے کمزوری کا استعمال کیا جا رہا ہے۔ الٹیمیٹ ممبرز کو مشورہ دیا جاتا ہے کہ وہ پلگ ان کو غیر فعال کر دیں جب تک کہ اس خطرے کے لیے مکمل پیچ دستیاب نہ ہو جائے۔
ماخذ لنک
تبصرہ (0)