سیکورٹی ہول 200,000 ورڈپریس ویب سائٹس کو خطرے میں ڈالتا ہے۔

دی ہیکر نیوز کے مطابق، کمزوری، جسے CVE-2023-3460 (CVSS سکور 9.8) کے طور پر ٹریک کیا گیا ہے، الٹیمیٹ ممبر پلگ ان (ایکسٹینشن) کے تمام ورژنز میں موجود ہے، بشمول 29 جون 2023 کو جاری کردہ تازہ ترین ورژن (2.6.6)۔

الٹیمیٹ ممبر ورڈپریس ویب سائٹس پر صارف پروفائلز اور کمیونٹیز بنانے کے لیے ایک مقبول پلگ ان ہے۔ یہ اکاؤنٹ مینجمنٹ کی خصوصیات بھی پیش کرتا ہے۔

WPScan - ورڈپریس سیکیورٹی کمپنی نے کہا کہ یہ سیکیورٹی خامی اس قدر سنگین ہے کہ حملہ آور ان کا فائدہ اٹھا کر انتظامی مراعات کے ساتھ نئے صارف اکاؤنٹس بنا سکتے ہیں، جس سے ہیکرز کو متاثرہ ویب سائٹس پر مکمل کنٹرول حاصل ہے۔

بدسلوکی کے خدشات کی وجہ سے خطرے کی تفصیلات کو روک دیا گیا ہے۔ Wordfence کے سیکیورٹی ماہرین بیان کرتے ہیں کہ اگرچہ پلگ ان میں ممنوعہ کلیدوں کی فہرست موجود ہے جسے صارف اپ ڈیٹ نہیں کر سکتے، لیکن فلٹرز کو نظرانداز کرنے کے آسان طریقے ہیں جیسے کہ پلگ ان کے ورژن میں فراہم کردہ اقدار میں سلیش یا کریکٹر انکوڈنگ کا استعمال۔

سیکیورٹی کی خرابی کا اعلان متاثرہ ویب سائٹس پر جعلی ایڈمن اکاؤنٹس شامل کیے جانے کی اطلاعات کے بعد کیا گیا۔ اس نے پلگ ان ڈویلپرز کو ورژن 2.6.4، 2.6.5 اور 2.6.6 میں جزوی اصلاحات جاری کرنے کا اشارہ کیا۔ آنے والے دنوں میں ایک نئی تازہ کاری متوقع ہے۔

الٹیمیٹ ممبر نے نئی ریلیز میں کہا کہ استحقاق میں اضافے کے خطرے کو UM فارمز کے ذریعے استعمال کیا گیا، جس سے باہر کے فرد کو ایڈمن سطح کے ورڈپریس صارف بنانے کی اجازت دی گئی۔ تاہم، WPScan نے نشاندہی کی کہ پیچ نامکمل تھے اور ان کو روکنے کے متعدد طریقے تلاش کیے گئے، یعنی بگ کا اب بھی فائدہ اٹھایا جا سکتا ہے۔

ویب سائٹ کے ایڈمن پینل کے ذریعے نقصان دہ پلگ ان اور تھیمز کو اپ لوڈ کرنے کے لیے apads, se_brutal, segs_brutal, wpadmins, wpengine_backup، اور wpenginer کے ناموں سے نئے اکاؤنٹس کو رجسٹر کرنے کے لیے کمزوری کا استعمال کیا جا رہا ہے۔ الٹیمیٹ ممبرز کو مشورہ دیا جاتا ہے کہ وہ پلگ ان کو غیر فعال کر دیں جب تک کہ اس خطرے کے لیے مکمل پیچ دستیاب نہ ہو جائے۔