Menurut The Hacker News , kerentanan tersebut, yang dilacak sebagai CVE-2023-3460 (skor CVSS 9,8), ada di semua versi plugin Ultimate Member, termasuk versi terbaru (2.6.6) yang dirilis pada 29 Juni 2023.
Ultimate Member adalah plugin populer untuk membuat profil pengguna dan komunitas di situs web WordPress. Plugin ini juga menawarkan fitur manajemen akun.
WPScan - Perusahaan keamanan WordPress mengatakan kelemahan keamanan ini sangat serius sehingga penyerang dapat mengeksploitasinya untuk membuat akun pengguna baru dengan hak istimewa administratif, memberikan peretas kendali penuh atas situs web yang terpengaruh.
Ultimate Member adalah plugin populer yang digunakan oleh lebih dari 200.000 situs web.
Detail kerentanan ini dirahasiakan karena kekhawatiran akan penyalahgunaan. Pakar keamanan dari Wordfence menjelaskan bahwa meskipun plugin ini memiliki daftar kunci terlarang yang tidak dapat diperbarui oleh pengguna, terdapat cara sederhana untuk melewati filter tersebut, seperti menggunakan garis miring atau pengkodean karakter pada nilai yang diberikan dalam versi plugin.
Celah keamanan ini terungkap setelah adanya laporan penambahan akun admin palsu ke situs web yang terdampak. Hal ini mendorong pengembang plugin untuk merilis perbaikan parsial pada versi 2.6.4, 2.6.5, dan 2.6.6. Pembaruan baru diperkirakan akan dirilis dalam beberapa hari mendatang.
Ultimate Member menyatakan dalam rilis terbaru bahwa kerentanan eskalasi hak istimewa tersebut digunakan melalui UM Forms, yang memungkinkan orang yang tidak berwenang untuk membuat pengguna WordPress tingkat administrator. Namun, WPScan menunjukkan bahwa patch tersebut belum lengkap dan menemukan beberapa cara untuk mengatasinya, yang berarti bug tersebut masih dapat dieksploitasi.
Kerentanan ini digunakan untuk mendaftarkan akun baru dengan nama apads, se_brutal, segs_brutal, wpadmins, wpengine_backup, dan wpenginer untuk mengunggah plugin dan tema berbahaya melalui panel admin situs web. Anggota Ultimate disarankan untuk menonaktifkan plugin hingga patch lengkap untuk kerentanan ini tersedia.
[iklan_2]
Tautan sumber
![[Foto] Program seni khusus "Da Nang - Menghubungkan masa depan"](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/2/efdd7e7142fd45fabc2b751d238f2f08)
![[Foto] Presiden Laos Thongloun Sisoulith dan Presiden Partai Rakyat Kamboja serta Presiden Senat Kamboja Hun Sen mengunjungi Pameran Ulang Tahun ke-95 Bendera Partai yang Menyinari Jalan](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/2/3c1a640aa3c3495db1654d937d1471c8)
![[Foto] Ketua Majelis Nasional Tran Thanh Man bertemu dengan Sekretaris Pertama dan Presiden Kuba Miguel Diaz-Canel Bermudez](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/2/c6a0120a426e415b897096f1112fac5a)
![[Foto] Warga Kota Ho Chi Minh menunjukkan rasa cinta mereka untuk merayakan ulang tahun ke-80 Revolusi Agustus dan Hari Nasional 2 September](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/3/55d860cbb63a40808e1e74ad9289b132)
Komentar (0)