ตามรายงานของ The Hacker News ช่องโหว่ที่ติดตามเป็น CVE-2023-3460 (คะแนน CVSS 9.8) มีอยู่ในปลั๊กอิน Ultimate Member ทุกเวอร์ชัน รวมถึงเวอร์ชันล่าสุด (2.6) .6) ซึ่งเปิดตัวเมื่อวันที่ 29 มิถุนายน 2023 .
Ultimate Member เป็นปลั๊กอินยอดนิยมสำหรับการสร้างโปรไฟล์ผู้ใช้และชุมชนบนเว็บไซต์ WordPress ยูทิลิตี้นี้ยังมีคุณสมบัติการจัดการบัญชีอีกด้วย
WPScan บริษัทด้านความปลอดภัยของ WordPress กล่าวว่าข้อบกพร่องด้านความปลอดภัยนี้ร้ายแรงมากจนผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์ระดับผู้ดูแลระบบ ซึ่งจะทำให้แฮกเกอร์ควบคุมเว็บไซต์ที่ได้รับผลกระทบได้อย่างสมบูรณ์
Ultimate Member เป็นปลั๊กอินยอดนิยมที่มีเว็บไซต์ใช้งานมากกว่า 200,000 แห่ง
รายละเอียดของช่องโหว่นี้ถูกกักไว้เนื่องจากมีข้อกังวลเกี่ยวกับการละเมิด ผู้เชี่ยวชาญด้านความปลอดภัยจาก Wordfence อธิบายว่า แม้ว่าปลั๊กอินจะมีรายการคีย์ที่ถูกแบนที่ผู้ใช้ไม่สามารถอัปเดตได้ แต่ก็มีวิธีง่ายๆ ในการหลีกเลี่ยงตัวกรอง เช่น การใช้เครื่องหมายทับหรือการเข้ารหัสอักขระในค่าที่ให้ไว้ในเวอร์ชันของปลั๊กอิน
ข้อบกพร่องด้านความปลอดภัยได้รับการประกาศหลังจากมีรายงานว่ามีการเพิ่มบัญชีผู้ดูแลระบบปลอมลงในเว็บไซต์ที่ได้รับผลกระทบ สิ่งนี้ทำให้ผู้พัฒนาปลั๊กอินต้องออกการแก้ไขบางส่วนในเวอร์ชัน 2.6.4, 2.6.5 และ 2.6.6 คาดว่าจะมีการเปิดตัวอัปเดตใหม่ในอีกไม่กี่วันข้างหน้านี้
สมาชิกระดับ Ultimate กล่าวในการเผยแพร่ใหม่ว่าช่องโหว่การเพิ่มสิทธิ์ถูกใช้ผ่าน UM Forms ซึ่งอนุญาตให้บุคคลภายนอกสร้างผู้ใช้ WordPress ระดับผู้ดูแลระบบได้ อย่างไรก็ตาม WPScan ชี้ให้เห็นว่าแพตช์ยังไม่สมบูรณ์ และได้พบวิธีการต่างๆ มากมายในการหลีกเลี่ยง ซึ่งหมายความว่าจุดบกพร่องนี้ยังสามารถใช้ประโยชน์ได้
ช่องโหว่นี้ถูกนำมาใช้เพื่อลงทะเบียนบัญชีใหม่ภายใต้ชื่อ apads, se_brutal, segs_brutal, wpadmins, wpengine_backup และ wpenginer เพื่ออัปโหลดปลั๊กอินและธีมที่เป็นอันตรายผ่านแผงควบคุมผู้ดูแลระบบของเว็บไซต์ ผู้ใช้งาน Ultimate Member ควรปิดการใช้งานปลั๊กอินจนกว่าจะมีการแก้ไขแพตช์เต็มรูปแบบสำหรับช่องโหว่ด้านความปลอดภัยนี้
ลิงค์ที่มา
การแสดงความคิดเห็น (0)