• Casa
  • Blog
  • Wordpress
  • Gli hacker sfruttano attivamente la vulnerabilità legata all'escalation dei privilegi senza patch nel plugin Ultimate Member – WP Tavern
Wordpress

Gli hacker sfruttano attivamente la vulnerabilità legata all’escalation dei privilegi senza patch nel plugin Ultimate Member – WP Tavern

Da La Redazione
su 18/12/2023
cHJpdmF0ZS9zdGF0aWMvaW1hZ2Uvd2Vic2l0ZS8yMDIyLTA0L2xyL2ZyY2FzdGxlX3JhaWxpbmdfbG92ZV82NTI3NzEtaW1hZ2Uta3liZTJkMTQuanBn.jpg

WPScan segnala una campagna di hacking sfruttando attivamente una vulnerabilità senza patch nel plugin Ultimate Memberche consente agli aggressori non autenticati di creare nuovi account utente con privilegi amministrativi e assumere il controllo del sito. Alla vulnerabilità è stato assegnato un punteggio CVSSv3.1 (Common Vulnerability Scoring System) pari a 9,8 (Critico).

Quello di Automattic WP.cloud E Pressable.com le piattaforme di hosting hanno ripreso la tendenza dei siti compromessi in cui spuntavano nuovi amministratori non autorizzati. Dopo ulteriori indagini hanno trovato una discussione sui forum di supporto di WordPress.org su un potenziale Vulnerabilità di escalation dei privilegi nel plugin, così come le indicazioni che era già in essere attivamente sfruttato.

Membro Ultimoche è attivo su più di 200.000 siti WordPress, ha patchato il plugin, ma WPScan segnala che non era sufficiente.

“In risposta alla segnalazione di vulnerabilità, i creatori del plugin hanno prontamente rilasciato una nuova versione, la 2.6.4, con l’intenzione di risolvere il problema”, ha affermato Marc Montpas, ricercatore di sicurezza di WPScan. “Tuttavia, esaminando questo aggiornamento, abbiamo trovato numerosi metodi per aggirare la patch proposta, il che implica che il problema è ancora completamente sfruttabile.

“In aggiunta all’urgenza della situazione, uno sguardo ai nostri sistemi di monitoraggio ha anche confermato che gli attacchi che sfruttavano questa vulnerabilità stavano effettivamente accadendo in natura”.

WPScan ha identificato più di una dozzina di indirizzi IP da cui hanno origine gli exploit, nomi utente comuni per account dannosi e altri indicatori di compromissione, come plug-in, temi e codice dannosi. Controlla il consulenza sulla sicurezza se ritieni di essere stato compromesso.

La versione 2.6.6 è l’ultima versione del plugin Ultimate Member ma si ritiene che sia ancora vulnerabile. WPScan consiglia agli utenti di disattivare il plug-in fino a quando non sarà stato adeguatamente aggiornato.

Articoli Correlati

Wordpress

WordPress in conflitto con il provider hosting: aggiornamenti impossibili – Techzine Europe

Wordpress

Ottieni un tasso di conversione più elevato con l’intelligenza artificiale per WooCommerce – NewsWatch

Wordpress

Nuovo plugin WordPress semplifica il raggiungimento del successo – Search Engine Journal

Wordpress

I cinque migliori plugin di backup di WordPress per evitare disastri – SitePoint

Wordpress

Un altro dei principali plugin di WordPress presenta una grave falla di sicurezza e milioni di siti potrebbero essere interessati – MSN

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I nostri partner

Su Bannersites.com metti la tua pubblicità a costi bassissimi.

Tramite Seolink.online potrai accedere e gestire i tuoi annunci per pubblicare contenuti sul tuo sito web.

La lista completa per i guest post.

Per il tuo network, sfrutta i nostri partner di fiducia, pubblica e gestisci i tuoi backlink seo.

Copyright © 2022. Tutti i diritti Riservati. Sito web creato con ❤️ da Creo Group™ Wellness e Sponsor Elite
Supporto
1
🛎️ Chatta con noi!
Scan the code
Ciao 👋
Hai bisogno di aiuto?