Según The Hacker News , la vulnerabilidad, identificada como CVE-2023-3460 (puntuación CVSS 9.8), existe en todas las versiones del complemento Ultimate Member, incluida la última versión (2.6.6) publicada el 29 de junio de 2023.

Ultimate Member es un complemento popular para crear perfiles de usuario y comunidades en sitios web de WordPress. Esta utilidad también proporciona funciones de gestión de cuentas.

WPScan - La empresa de seguridad de WordPress dijo que esta falla de seguridad es tan grave que los atacantes pueden explotarla para crear nuevas cuentas de usuario con privilegios administrativos, dando a los piratas informáticos control total sobre los sitios web afectados.

Se han ocultado detalles de la vulnerabilidad debido a preocupaciones sobre abuso. Los expertos en seguridad de Wordfence describen que aunque el complemento tiene una lista de claves prohibidas que los usuarios no pueden actualizar, existen formas sencillas de eludir los filtros, como usar barras o codificación de caracteres en el valor proporcionado en las versiones del complemento.

La falla de seguridad fue anunciada después de que surgieran informes de que se habían agregado cuentas de administrador falsas a los sitios web afectados. Esto llevó a los desarrolladores del complemento a lanzar correcciones parciales en las versiones 2.6.4, 2.6.5 y 2.6.6. Se espera que se publique una nueva actualización en los próximos días.

Ultimate Member dijo en el nuevo lanzamiento que la vulnerabilidad de escalada de privilegios se utiliza a través de formularios UM, lo que permite que un extraño cree un usuario de WordPress de nivel de administrador. Sin embargo, WPScan señala que los parches están incompletos y ha encontrado múltiples métodos para evitarlos, lo que significa que el error aún es explotable.

La vulnerabilidad se está utilizando para registrar nuevas cuentas bajo los nombres apads, se_brutal, segs_brutal, wpadmins, wpengine_backup y wpenginer para cargar complementos y temas maliciosos a través del panel de administración del sitio web. Los usuarios de Ultimate Member deben deshabilitar el complemento hasta que esté disponible un parche completo para esta vulnerabilidad de seguridad.