Laut The Hacker News ist die Sicherheitslücke mit der Bezeichnung CVE-2023-3460 (CVSS-Score 9,8) in allen Versionen des Ultimate Member-Plugins vorhanden, einschließlich der neuesten Version (2.6.6), die am 29. Juni 2023 veröffentlicht wurde.

Ultimate Member ist ein beliebtes Plugin zum Erstellen von Benutzerprofilen und Communities auf WordPress-Websites. Dieses Dienstprogramm bietet auch Funktionen zur Kontoverwaltung.

WPScan – Das WordPress-Sicherheitsunternehmen sagte, diese Sicherheitslücke sei so schwerwiegend, dass Angreifer sie ausnutzen könnten, um neue Benutzerkonten mit Administratorrechten zu erstellen, wodurch Hacker die vollständige Kontrolle über die betroffenen Websites erhielten.

Einzelheiten zu dieser Sicherheitslücke wurden aufgrund von Missbrauchsbedenken zurückgehalten. Sicherheitsexperten von Wordfence beschreiben, dass das Plugin zwar über eine Liste verbotener Schlüssel verfügt, die Benutzer nicht aktualisieren können, es jedoch einfache Möglichkeiten gibt, die Filter zu umgehen, beispielsweise durch die Verwendung von Schrägstrichen oder Zeichenkodierungen im in den Plugin-Versionen bereitgestellten Wert.

Die Sicherheitslücke wurde bekannt, nachdem Berichte aufgetaucht waren, wonach betroffenen Websites gefälschte Administratorkonten hinzugefügt wurden. Dies veranlasste die Plugin-Entwickler, Teilkorrekturen in den Versionen 2.6.4, 2.6.5 und 2.6.6 zu veröffentlichen. In den nächsten Tagen wird mit der Veröffentlichung eines neuen Updates gerechnet.

Ultimate Member sagte in der neuen Version, dass die Sicherheitslücke bei der Rechteausweitung über UM Forms ausgenutzt wird, wodurch ein Außenstehender einen WordPress-Benutzer auf Administratorebene erstellen kann. WPScan weist jedoch darauf hin, dass die Patches unvollständig sind und hat mehrere Methoden gefunden, sie zu umgehen, was bedeutet, dass der Fehler immer noch ausgenutzt werden kann.

Die Sicherheitslücke wird ausgenutzt, um neue Konten unter den Namen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup und wpenginer zu registrieren und über das Admin-Panel der Website schädliche Plugins und Designs hochzuladen. Ultimate Member-Benutzer sollten das Plugin deaktivieren, bis ein vollständiger Patch für diese Sicherheitslücke verfügbar ist.