Bezpečnostní chyba ohrožuje 200 000 webů na WordPressu

Podle serveru The Hacker News existuje zranitelnost označená jako CVE-2023-3460 (skóre CVSS 9,8) ve všech verzích pluginu Ultimate Member, včetně nejnovější verze (2.6.6) vydané 29. června 2023.

Ultimate Member je populární plugin pro vytváření uživatelských profilů a komunit na webech WordPress. Nabízí také funkce pro správu účtů.

Společnost WPScan – zabývající se zabezpečením WordPressu – uvedla, že tato bezpečnostní chyba je tak závažná, že ji útočníci mohou zneužít k vytvoření nových uživatelských účtů s administrátorskými oprávněními, což hackerům dává úplnou kontrolu nad postiženými webovými stránkami.

Podrobnosti o zranitelnosti byly z důvodu obav ze zneužití zatajeny. Bezpečnostní experti z Wordfence popisují, že ačkoli plugin obsahuje seznam zakázaných klíčů, které uživatelé nemohou aktualizovat, existují jednoduché způsoby, jak filtry obejít, například použitím lomítek nebo kódování znaků v hodnotě uvedené ve verzích pluginu.

Bezpečnostní chyba byla odhalena po hlášeních o falešných administrátorských účtech přidávaných na postižené webové stránky. To vedlo vývojáře pluginu k vydání částečných oprav ve verzích 2.6.4, 2.6.5 a 2.6.6. Nová aktualizace se očekává v nadcházejících dnech.

Server Ultimate Member v nové verzi uvedl, že zranitelnost umožňující eskalaci oprávnění byla zneužita prostřednictvím UM Forms, což neoprávněné osobě umožnilo vytvořit uživatele WordPressu s administrátorskými právy. WPScan však poukázal na to, že záplaty byly neúplné a našel několik způsobů, jak je obejít, což znamená, že chybu lze stále zneužít.

Tato zranitelnost se používá k registraci nových účtů pod jmény apads, se_brutal, segs_brutal, wpadmins, wpengine_backup a wpenginer za účelem nahrávání škodlivých pluginů a šablon prostřednictvím administračního panelu webu. Členům Ultimate se doporučuje pluginy deaktivovat, dokud nebude k dispozici kompletní oprava této zranitelnosti.