وفقًا لـ The Hacker News ، فإن الثغرة الأمنية، التي تم تعقبها باسم CVE-2023-3460 (درجة CVSS 9.8)، موجودة في جميع إصدارات البرنامج الإضافي Ultimate Member، بما في ذلك الإصدار الأحدث (2.6.6) الذي تم إصداره في 29 يونيو 2023.
Ultimate Member إضافة شائعة لإنشاء ملفات تعريف المستخدمين والمجتمعات على مواقع ووردبريس. كما توفر ميزات إدارة الحسابات.
قالت شركة WPScan - المتخصصة في أمن WordPress - إن هذا الخلل الأمني خطير للغاية لدرجة أن المهاجمين يمكنهم استغلاله لإنشاء حسابات مستخدم جديدة بامتيازات إدارية، مما يمنح المتسللين السيطرة الكاملة على مواقع الويب المتأثرة.
Ultimate Member هو مكون إضافي شائع يستخدمه أكثر من 200000 موقع ويب.
تم حجب تفاصيل الثغرة الأمنية بسبب مخاوف من إساءة استخدامها. ويوضح خبراء الأمن من Wordfence أنه على الرغم من أن الإضافة تحتوي على قائمة بالمفاتيح المحظورة التي لا يمكن للمستخدمين تحديثها، إلا أن هناك طرقًا بسيطة لتجاوز عوامل التصفية، مثل استخدام الشرطة المائلة أو ترميز الأحرف في القيم المُقدمة في إصدارات الإضافة.
تم الكشف عن الخلل الأمني بعد ورود تقارير عن إضافة حسابات إدارية مزيفة إلى مواقع الويب المتأثرة. دفع هذا مطوري الإضافات إلى إصدار إصلاحات جزئية في الإصدارات 2.6.4 و2.6.5 و2.6.6. ومن المتوقع إصدار تحديث جديد خلال الأيام القادمة.
ذكرت شركة Ultimate Member في الإصدار الجديد أن ثغرة تصعيد الصلاحيات استُخدمت عبر نماذج UM، مما سمح لشخص غير مُصرّح له بإنشاء مستخدم ووردبريس بمستوى مسؤول. ومع ذلك، أشارت WPScan إلى أن التحديثات لم تكن كاملة، ووجدت طرقًا متعددة للتحايل عليها، مما يعني أنه لا يزال من الممكن استغلال هذه الثغرة.
تُستخدم هذه الثغرة لتسجيل حسابات جديدة بأسماء apads وse_brutal وsegs_brutal وwpadmins وwpengine_backup وwpenginer لتحميل إضافات وقوالب ضارة عبر لوحة إدارة الموقع. يُنصح الأعضاء بتعطيل الإضافات حتى يتوفر تصحيح شامل لهذه الثغرة.
[إعلان 2]
رابط المصدر
تعليق (0)