Questo plugin per WordPress garantisce agli hacker l’accesso amministrativo “definitivo” al tuo sito
Migliaia di WordPress I siti potrebbero essere a rischio poiché viene sfruttata una vulnerabilità nel plug-in Ultimate Member, ma una soluzione rapida impedirà che il tuo sito venga rilevato.
Il plugin, che ha accumulato più di 200.000 download sulla piattaforma, è progettato per supportare le iscrizioni e gli abbonamenti degli utenti sui siti Web WordPress.
Alla vulnerabilità tracciata come CVE-2023-3460 è stato assegnato un punteggio di 9,8, rendendola “critica”. Si ritiene che abbia avuto un impatto su tutte le versioni del plugin.
Il plugin Ultimate Member riceverà una patch il prima possibile
Utente della piattaforma di supporto WordPress softwaregeek hanno pubblicato le loro preoccupazioni sulla vulnerabilità, che secondo loro “consente a un utente malintenzionato non autenticato di registrarsi come amministratore e assumere il pieno controllo del sito web”.
Un utente malintenzionato può ignorare un filtro che gli consente di modificare il record wp_capabilities, diventando amministratore del sito.
Andrewshu, membro del team di supporto plugin, ha confermato che le versioni 2.6.4, 2.6.5 e 2.6.6 sono riuscite in qualche modo a chiudere la vulnerabilità, ma gli utenti erano ancora a rischio.
Wordfencea cui viene attribuito il merito di aver suonato per primo il campanello d’allarme, ha esortato gli utenti del plug-in a disinstallare il plug-in fino a quando non fosse stata rilasciata una soluzione. La società ha inoltre annunciato di aver rilasciato a firewall regola per proteggere alcuni dei suoi clienti.
Successivamente, Andrewshu ha confermato che la versione 2.6.7 era stata rilasciata come correzione. Dettagli nel registro delle modifiche del plugin conferma che è così:
“Risolto: una vulnerabilità di escalation dei privilegi utilizzata tramite i moduli di messaggistica unificata. È risaputo che questa vulnerabilità ha consentito a estranei di creare utenti WordPress a livello di amministratore.”
Nelle note, lo sviluppatore ha esortato gli utenti ad assicurarsi di aver aggiornato alla versione 2.6.7 e a controllare gli utenti a livello di amministratore sul proprio sito nel caso in cui siano stati vittime dell’exploit.