Selon The Hacker News , la vulnérabilité, identifiée comme CVE-2023-3460 (score CVSS 9,8), existe dans toutes les versions du plugin Ultimate Member, y compris la dernière version (2.6.6) publiée le 29 juin 2023.

Ultimate Member est un plugin populaire pour créer des profils d'utilisateurs et des communautés sur les sites Web WordPress. Cet utilitaire fournit également des fonctionnalités de gestion de compte.

WPScan - La société de sécurité WordPress a déclaré que cette faille de sécurité est si grave que les attaquants peuvent l'exploiter pour créer de nouveaux comptes d'utilisateurs avec des privilèges administratifs, donnant aux pirates un contrôle total sur les sites Web affectés.

Les détails de la vulnérabilité n’ont pas été divulgués en raison de préoccupations concernant les abus. Les experts en sécurité de Wordfence décrivent que même si le plugin dispose d'une liste de clés interdites que les utilisateurs ne peuvent pas mettre à jour, il existe des moyens simples de contourner les filtres, comme l'utilisation de barres obliques ou d'un codage de caractères dans la valeur fournie dans les versions du plugin.

La faille de sécurité a été annoncée après que des rapports ont fait état de faux comptes administrateurs ajoutés aux sites Web concernés. Cela a conduit les développeurs du plugin à publier des correctifs partiels dans les versions 2.6.4, 2.6.5 et 2.6.6. Une nouvelle mise à jour devrait être publiée dans les prochains jours.

Ultimate Member a déclaré dans la nouvelle version que la vulnérabilité d'escalade des privilèges est utilisée via les formulaires UM, permettant à un étranger de créer un utilisateur WordPress de niveau administrateur. Cependant, WPScan souligne que les correctifs sont incomplets et a trouvé plusieurs méthodes pour les contourner, ce qui signifie que le bug est toujours exploitable.

La vulnérabilité est utilisée pour enregistrer de nouveaux comptes sous les noms apads, se_brutal, segs_brutal, wpadmins, wpengine_backup et wpenginer pour télécharger des plugins et des thèmes malveillants via le panneau d'administration du site Web. Les utilisateurs Ultimate Member doivent désactiver le plugin jusqu'à ce qu'un correctif complet pour cette vulnérabilité de sécurité soit disponible.