Selon The Hacker News , la vulnérabilité, identifiée comme CVE-2023-3460 (score CVSS 9,8), existe dans toutes les versions du plugin Ultimate Member, y compris la dernière version (2.6.6) publiée le 29 juin 2023.
Ultimate Member est une extension populaire pour la création de profils utilisateurs et de communautés sur les sites WordPress. Elle offre également des fonctionnalités de gestion de compte.
WPScan - La société de sécurité WordPress a déclaré que cette faille de sécurité est si grave que les attaquants peuvent l'exploiter pour créer de nouveaux comptes d'utilisateurs avec des privilèges administratifs, donnant aux pirates un contrôle total sur les sites Web affectés.
Ultimate Member est un plugin populaire avec plus de 200 000 sites Web qui l'utilisent.
Les détails de la vulnérabilité n'ont pas été divulgués en raison de craintes d'abus. Les experts en sécurité de Wordfence expliquent que, bien que le plugin dispose d'une liste de clés interdites que les utilisateurs ne peuvent pas mettre à jour, il existe des moyens simples de contourner les filtres, comme l'utilisation de barres obliques ou l'encodage de caractères dans la valeur fournie dans les différentes versions du plugin.
La faille de sécurité a été révélée suite à des signalements d'ajout de faux comptes administrateurs aux sites web concernés. Les développeurs du plugin ont donc publié des correctifs partiels dans les versions 2.6.4, 2.6.5 et 2.6.6. Une nouvelle mise à jour est attendue dans les prochains jours.
Ultimate Member a indiqué dans la nouvelle version que la vulnérabilité d'élévation de privilèges était exploitée via les formulaires UM, permettant à une personne non autorisée de créer un utilisateur WordPress de niveau administrateur. Cependant, WPScan a souligné que les correctifs étaient incomplets et a trouvé plusieurs moyens de les contourner, ce qui signifie que le bug pouvait encore être exploité.
Cette vulnérabilité est exploitée pour créer de nouveaux comptes sous les noms apads, se_brutal, segs_brutal, wpadmins, wpengine_backup et wpenginer afin de télécharger des plugins et des thèmes malveillants via le panneau d'administration du site. Il est conseillé aux membres Ultimate de désactiver leurs plugins jusqu'à la disponibilité d'un correctif complet pour cette vulnérabilité.
Lien source
![[Photo] Découvrez la « merveille » sous la mer de Gia Lai](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/6/befd4a58bb1245419e86ebe353525f97)
![[Photo] Nghe An : La route provinciale 543D gravement érodée en raison des inondations](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/5/5759d3837c26428799f6d929fa274493)
Comment (0)