Laut The Hacker News ist die Sicherheitslücke mit der Bezeichnung CVE-2023-3460 (CVSS-Score 9,8) in allen Versionen des Ultimate Member-Plugins vorhanden, einschließlich der neuesten Version (2.6.6), die am 29. Juni 2023 veröffentlicht wurde.
Ultimate Member ist ein beliebtes Plugin zum Erstellen von Benutzerprofilen und Communities auf WordPress-Websites. Es bietet auch Funktionen zur Kontoverwaltung.
WPScan – Das WordPress-Sicherheitsunternehmen sagte, diese Sicherheitslücke sei so schwerwiegend, dass Angreifer sie ausnutzen könnten, um neue Benutzerkonten mit Administratorrechten zu erstellen, wodurch Hacker die vollständige Kontrolle über die betroffenen Websites hätten.
Ultimate Member ist ein beliebtes Plugin, das von über 200.000 Websites verwendet wird.
Details zur Sicherheitslücke wurden aufgrund von Missbrauchsbedenken zurückgehalten. Sicherheitsexperten von Wordfence beschreiben, dass das Plugin zwar eine Liste verbotener Schlüssel enthält, die Benutzer nicht aktualisieren können, es aber einfache Möglichkeiten gibt, die Filter zu umgehen, beispielsweise durch die Verwendung von Schrägstrichen oder die Zeichenkodierung im Wert, der in den Versionen des Plugins bereitgestellt wird.
Die Sicherheitslücke wurde bekannt, nachdem Berichte über die Einrichtung gefälschter Administratorkonten auf betroffenen Websites aufgetaucht waren. Dies veranlasste die Plugin-Entwickler, Teilkorrekturen in den Versionen 2.6.4, 2.6.5 und 2.6.6 zu veröffentlichen. Ein neues Update wird in den kommenden Tagen erwartet.
Ultimate Member erklärte in der neuen Version, dass die Sicherheitslücke zur Rechteausweitung über UM Forms ausgenutzt wurde, wodurch eine nicht autorisierte Person einen WordPress-Benutzer auf Administratorebene erstellen konnte. WPScan wies jedoch darauf hin, dass die Patches unvollständig seien und es mehrere Möglichkeiten gebe, sie zu umgehen, sodass der Fehler weiterhin ausgenutzt werden könne.
Die Sicherheitslücke wird ausgenutzt, um neue Konten unter den Namen apads, se_brutal, segs_brutal, wpadmins, wpengine_backup und wpenginer zu registrieren und schädliche Plugins und Themes über das Admin-Panel der Website hochzuladen. Ultimate-Mitgliedern wird empfohlen, Plugins zu deaktivieren, bis ein vollständiger Patch für diese Sicherheitslücke verfügbar ist.
[Anzeige_2]
Quellenlink
![[Foto] Das Politbüro arbeitet mit dem Ständigen Ausschuss des Parteikomitees von Hanoi und dem Parteikomitee von Ho-Chi-Minh-Stadt zusammen](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/8/21/4f3460337a6045e7847d50d38704355d)
Kommentar (0)