Laut The Hacker News besteht die Schwachstelle mit der Bezeichnung CVE-2023-3460 (CVSS-Score 9,8) in allen Versionen des Ultimate Member-Plugins, einschließlich der neuesten Version (2.6.6), die am 29. Juni 2023 veröffentlicht wurde.
Ultimate Member ist ein beliebtes Plugin zum Erstellen von Benutzerprofilen und Communities auf WordPress-Websites. Dieses Dienstprogramm bietet auch Funktionen zur Kontoverwaltung.
WPScan – Das WordPress-Sicherheitsunternehmen sagte, diese Sicherheitslücke sei so schwerwiegend, dass Angreifer sie ausnutzen könnten, um neue Benutzerkonten mit Administratorrechten zu erstellen, wodurch Hacker die vollständige Kontrolle über die betroffenen Websites erhielten.
Ultimate Member ist ein beliebtes Plugin, das von über 200.000 Websites verwendet wird.
Aufgrund von Missbrauchsbedenken wurden Einzelheiten zu dieser Sicherheitslücke zurückgehalten. Sicherheitsexperten von Wordfence beschreiben, dass das Plugin zwar eine Liste verbotener Schlüssel enthält, die Benutzer nicht aktualisieren können, es jedoch einfache Möglichkeiten gibt, die Filter zu umgehen, beispielsweise durch die Verwendung von Schrägstrichen oder Zeichenkodierungen in den in den Plugin-Versionen bereitgestellten Werten.
Die Sicherheitslücke wurde bekannt, nachdem Berichte auftauchten, dass den betroffenen Websites gefälschte Administratorkonten hinzugefügt wurden. Dies veranlasste die Plugin-Entwickler, teilweise Korrekturen in den Versionen 2.6.4, 2.6.5 und 2.6.6 zu veröffentlichen. In den nächsten Tagen wird mit der Veröffentlichung eines neuen Updates gerechnet.
Ultimate Member sagte in der neuen Version, dass die Sicherheitslücke bei der Rechteausweitung über UM Forms ausgenutzt wird, wodurch ein Außenstehender einen WordPress-Benutzer auf Administratorebene erstellen kann. WPScan weist jedoch darauf hin, dass die Patches unvollständig sind und hat mehrere Methoden gefunden, sie zu umgehen, was bedeutet, dass der Fehler immer noch ausgenutzt werden kann.
Die Schwachstelle wird ausgenutzt, um neue Konten unter den Namen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup und wpenginer zu registrieren und über das Admin-Panel der Website schädliche Plugins und Designs hochzuladen. Ultimate Member-Benutzer sollten das Plugin deaktivieren, bis ein vollständiger Patch für diese Sicherheitslücke verfügbar ist.
[Anzeige_2]
Quellenlink
Kommentar (0)