Laut The Hacker News ist die Sicherheitslücke mit der Bezeichnung CVE-2023-3460 (CVSS-Score 9,8) in allen Versionen des Ultimate Member-Plugins vorhanden, einschließlich der neuesten Version (2.6.6), die am 29. Juni 2023 veröffentlicht wurde.
Ultimate Member ist ein beliebtes Plugin zum Erstellen von Benutzerprofilen und Communities auf WordPress-Websites. Es bietet außerdem Funktionen zur Kontoverwaltung.
WPScan – Das WordPress-Sicherheitsunternehmen sagte, diese Sicherheitslücke sei so schwerwiegend, dass Angreifer sie ausnutzen könnten, um neue Benutzerkonten mit Administratorrechten zu erstellen, wodurch Hacker die vollständige Kontrolle über die betroffenen Websites erhielten.
Ultimate Member ist ein beliebtes Plugin, das von über 200.000 Websites verwendet wird.
Details zur Sicherheitslücke wurden aufgrund von Missbrauchsbedenken zurückgehalten. Sicherheitsexperten von Wordfence beschreiben, dass das Plugin zwar eine Liste gesperrter Schlüssel enthält, die Benutzer nicht aktualisieren können, es jedoch einfache Möglichkeiten gibt, die Filter zu umgehen, beispielsweise durch die Verwendung von Schrägstrichen oder die Zeichenkodierung im Wert, der in den Plugin-Versionen bereitgestellt wird.
Die Sicherheitslücke wurde bekannt, nachdem Berichte über die Einrichtung gefälschter Administratorkonten auf betroffenen Websites aufgetaucht waren. Dies veranlasste die Plugin-Entwickler, Teilkorrekturen in den Versionen 2.6.4, 2.6.5 und 2.6.6 zu veröffentlichen. Ein neues Update wird in den kommenden Tagen erwartet.
Ultimate Member erklärte in der neuen Version, dass die Sicherheitslücke zur Rechteausweitung über UM-Formulare ausgenutzt wurde, wodurch Unbefugte einen WordPress-Benutzer auf Administratorebene erstellen konnten. WPScan wies jedoch darauf hin, dass die Patches unvollständig seien und es mehrere Möglichkeiten gebe, sie zu umgehen, sodass der Fehler weiterhin ausgenutzt werden könne.
Die Sicherheitslücke wird ausgenutzt, um neue Konten unter den Namen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup und wpenginer zu registrieren und schädliche Plugins und Themes über das Admin-Panel der Website hochzuladen. Ultimate-Mitgliedern wird empfohlen, Plugins zu deaktivieren, bis ein vollständiger Patch für diese Sicherheitslücke verfügbar ist.
[Anzeige_2]
Quellenlink
![[Foto] Der 9. Kongress des Parteikomitees des Präsidialamtes, Amtszeit 2025-2030](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/6/20/78e7f27e8c4b4edc8859f09572409ad3)
![[Maritime News] Wan Hai Lines investiert 150 Millionen US-Dollar in den Kauf von 48.000 Containern](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/6/20/c945a62aff624b4bb5c25e67e9bcc1cb)
Kommentar (0)