Según The Hacker News , la vulnerabilidad, identificada como CVE-2023-3460 (puntuación CVSS 9.8), existe en todas las versiones del complemento Ultimate Member, incluida la última versión (2.6.6) publicada el 29 de junio de 2023.
Ultimate Member es un complemento popular para crear perfiles de usuarios y comunidades en sitios web de WordPress. Esta utilidad también proporciona funciones de gestión de cuentas.
WPScan - La empresa de seguridad de WordPress dijo que esta falla de seguridad es tan grave que los atacantes pueden explotarla para crear nuevas cuentas de usuario con privilegios administrativos, dando a los piratas informáticos control total sobre los sitios web afectados.
Ultimate Member es un complemento popular con más de 200.000 sitios web que lo utilizan.
Se han ocultado detalles de la vulnerabilidad debido a preocupaciones sobre abuso. Los expertos en seguridad de Wordfence describen que aunque el complemento tiene una lista de claves prohibidas que los usuarios no pueden actualizar, existen formas sencillas de eludir los filtros, como usar barras o codificación de caracteres en el valor proporcionado en las versiones del complemento.
La falla de seguridad fue revelada luego de que surgieran informes sobre cuentas de administrador falsas agregadas a los sitios web afectados. Esto llevó a los desarrolladores del complemento a lanzar correcciones parciales en las versiones 2.6.4, 2.6.5 y 2.6.6. Se espera que se publique una nueva actualización en los próximos días.
Ultimate Member dijo en el nuevo lanzamiento que la vulnerabilidad de escalada de privilegios se utiliza a través de formularios UM, lo que permite que un extraño cree un usuario de WordPress de nivel de administrador. Sin embargo, WPScan señala que los parches están incompletos y ha encontrado múltiples métodos para evitarlos, lo que significa que el error aún es explotable.
La vulnerabilidad se está utilizando para registrar nuevas cuentas bajo los nombres apads, se_brutal, segs_brutal, wpadmins, wpengine_backup y wpenginer para cargar complementos y temas maliciosos a través del panel de administración del sitio web. Los usuarios de Ultimate Member deben deshabilitar el complemento hasta que esté disponible un parche completo para esta vulnerabilidad de seguridad.
[anuncio_2]
Enlace de origen
![[Foto] Se acelera la construcción de la carretera de circunvalación 3 y la autopista Bien Hoa-Vung Tau](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/3/31/f1431fbe7d604caba041f84a718ccef7)
![[Foto] El Secretario General To Lam recibe al Embajador de Estados Unidos en Vietnam, Marc E. Knapper.](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/3/31/5ee45ded5fd548a685618a0b67c42970)
![[Foto] II Conferencia del Comité Ejecutivo de los Organismos Centrales del Partido](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/3/31/8f85b88962b34701ac511682b09b1e0d)
![[Foto] El primer ministro Pham Minh Chinh recibe a una delegación de líderes de universidades estadounidenses.](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/3/31/8be7f6be90624512b385fd1690124eaa)
![[RESEÑA OCOP] Un gato Lanh Huong Vet Yen](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/3/27/c25032328e9a47be9991d5be7c0cad8c)
Kommentar (0)