Уязвимость безопасности ставит под угрозу 200 000 сайтов WordPress

По данным The Hacker News , уязвимость, обозначенная как CVE-2023-3460 (оценка CVSS 9,8), присутствует во всех версиях плагина Ultimate Member, включая последнюю версию (2.6.6), выпущенную 29 июня 2023 года.

Ultimate Member — популярный плагин для создания профилей пользователей и сообществ на сайтах WordPress. Он также предлагает функции управления аккаунтами.

WPScan - компания по безопасности WordPress заявила, что эта уязвимость безопасности настолько серьезна, что злоумышленники могут воспользоваться ею для создания новых учетных записей пользователей с правами администратора, что предоставит хакерам полный контроль над уязвимыми веб-сайтами.

Подробности уязвимости были скрыты из-за опасений по поводу злоупотреблений. Эксперты по безопасности из Wordfence описывают, что хотя плагин имеет список запрещенных ключей, которые пользователи не могут обновить, существуют простые способы обойти фильтры, такие как использование слешей или кодировки символов в значении, предоставляемом в версиях плагина.

Уязвимость безопасности была раскрыта после сообщений о добавлении поддельных учетных записей администраторов на уязвимые веб-сайты. Это побудило разработчиков плагина выпустить частичные исправления в версиях 2.6.4, 2.6.5 и 2.6.6. Новое обновление ожидается в ближайшие дни.

Ultimate Member заявил в новом релизе, что уязвимость повышения привилегий использовалась через UM Forms, позволяя неавторизованному лицу создать пользователя WordPress уровня администратора. Однако WPScan указал, что исправления были неполными, и нашел несколько способов их обойти, что означает, что ошибка все еще может быть использована.

Уязвимость используется для регистрации новых учетных записей под именами apads, se_brutal, segs_brutal, wpadmins, wpengine_backup и wpenginer для загрузки вредоносных плагинов и тем через панель администратора веб-сайта. Участникам Ultimate рекомендуется отключить плагины, пока не будет доступен полный патч для этой уязвимости.