По данным The Hacker News , уязвимость, обозначенная как CVE-2023-3460 (оценка CVSS 9,8), присутствует во всех версиях плагина Ultimate Member, включая последнюю версию (2.6.6), выпущенную 29 июня 2023 года.
Ultimate Member — популярный плагин для создания профилей пользователей и сообществ на сайтах WordPress. Он также предлагает функции управления аккаунтами.
WPScan - компания по безопасности WordPress заявила, что эта уязвимость безопасности настолько серьезна, что злоумышленники могут воспользоваться ею для создания новых учетных записей пользователей с правами администратора, что предоставит хакерам полный контроль над уязвимыми веб-сайтами.
Ultimate Member — популярный плагин, который используют более 200 000 веб-сайтов.
Подробности уязвимости не разглашаются из-за опасений по поводу злоупотреблений. Эксперты по безопасности Wordfence отмечают, что, хотя плагин содержит список запрещённых ключей, который пользователи не могут обновить, существуют простые способы обойти фильтры, например, используя слеши или кодировку символов в значениях, предоставляемых в различных версиях плагина.
Уязвимость безопасности была обнаружена после сообщений о добавлении поддельных учётных записей администраторов на уязвимые сайты. Это побудило разработчиков плагина выпустить частичные исправления в версиях 2.6.4, 2.6.5 и 2.6.6. Новое обновление ожидается в ближайшие дни.
В новом релизе Ultimate Member говорится, что уязвимость повышения привилегий использовалась через UM Forms, позволяя неавторизованному лицу создать пользователя WordPress с правами администратора. Однако WPScan отметил, что исправления были неполными, и обнаружил множество способов их обхода, что означает, что уязвимость всё ещё может быть эксплуатирована.
Уязвимость используется для регистрации новых учётных записей под именами apads, se_brutal, segs_brutal, wpadmins, wpengine_backup и wpenginer для загрузки вредоносных плагинов и тем через панель администратора сайта. Участникам Ultimate рекомендуется отключить плагины до выхода полного патча, закрывающего эту уязвимость.
Ссылка на источник
![[Фото] Ханой: власти прилагают все усилия для преодоления последствий сильного дождя](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/26/380f98ee36a34e62a9b7894b020112a8)
![[Фото] Разноцветное культурное пространство на выставке «80 лет пути Независимости – Свободы – Счастья»](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/26/fe69de34803e4ac1bf88ce49813d95d8)
Комментарий (0)