وفقًا لـ The Hacker News ، فإن الثغرة الأمنية، التي تم تعقبها باسم CVE-2023-3460 (درجة CVSS 9.8)، موجودة في جميع إصدارات البرنامج الإضافي Ultimate Member، بما في ذلك الإصدار الأحدث (2.6.6) الذي تم إصداره في 29 يونيو 2023.

Ultimate Member هو مكون إضافي شائع لإنشاء ملفات تعريف المستخدمين والمجتمعات على مواقع الويب التي تعمل بنظام WordPress. توفر هذه الأداة المساعدة أيضًا ميزات إدارة الحساب.

قالت شركة WPScan - المتخصصة في أمن WordPress - إن هذا الخلل الأمني ​​خطير للغاية لدرجة أن المهاجمين يمكنهم استغلاله لإنشاء حسابات مستخدم جديدة بامتيازات إدارية، مما يمنح المتسللين السيطرة الكاملة على مواقع الويب المتأثرة.

تم حجب تفاصيل الثغرة الأمنية بسبب المخاوف بشأن إساءة الاستخدام. يصف خبراء الأمن من Wordfence أنه على الرغم من أن البرنامج المساعد لديه قائمة بالمفاتيح المحظورة التي لا يمكن للمستخدمين تحديثها، إلا أن هناك طرقًا بسيطة لتجاوز المرشحات مثل استخدام الخطوط المائلة أو ترميز الأحرف في القيمة المقدمة في إصدارات البرنامج المساعد.

تم الإعلان عن الخلل الأمني ​​بعد ظهور تقارير عن إضافة حسابات إدارية وهمية إلى مواقع الويب المتأثرة. وقد دفع هذا مطوري البرنامج الإضافي إلى إصدار إصلاحات جزئية في الإصدارات 2.6.4 و2.6.5 و2.6.6. ومن المتوقع إصدار تحديث جديد في الأيام المقبلة.

قالت شركة Ultimate Member في الإصدار الجديد أن ثغرة تصعيد الامتيازات تُستخدم من خلال UM Forms، مما يسمح لشخص خارجي بإنشاء مستخدم WordPress على مستوى المسؤول. ومع ذلك، يشير WPScan إلى أن التصحيحات غير كاملة وقد وجد طرقًا متعددة للالتفاف عليها، مما يعني أن الخلل لا يزال قابلاً للاستغلال.

يتم استغلال الثغرة الأمنية لتسجيل حسابات جديدة تحت الأسماء apads، وse_brutal، وsegs_brutal، وwpadmins، وwpengine_backup، وwpenginer لتحميل المكونات الإضافية والموضوعات الضارة عبر لوحة إدارة الموقع. يجب على مستخدمي Ultimate Member تعطيل البرنامج الإضافي حتى يتوفر تصحيح كامل لهذه الثغرة الأمنية.