The Hacker Newsによると、CVE-2023-3460(CVSSスコア9.8)として追跡されているこの脆弱性は、2023年6月29日にリリースされた最新バージョン(2.6.6)を含むUltimate Memberプラグインのすべてのバージョンに存在します。
Ultimate Memberは、WordPressウェブサイトでユーザープロフィールやコミュニティを作成できる人気のプラグインです。アカウント管理機能も備えています。
WordPress セキュリティ企業の WPScan は、このセキュリティ上の欠陥は非常に深刻で、攻撃者がこれを悪用して管理者権限を持つ新しいユーザー アカウントを作成し、影響を受ける Web サイトをハッカーが完全に制御できるようになると述べています。
Ultimate Member は、200,000 を超える Web サイトで使用されている人気のプラグインです。
脆弱性の詳細は、悪用への懸念から非公開となっています。Wordfenceのセキュリティ専門家によると、プラグインにはユーザーが更新できない禁止キーのリストがありますが、プラグインのバージョンで提供される値にスラッシュや文字エンコードを使用するなど、フィルターを回避する簡単な方法があるとのことです。
このセキュリティ脆弱性は、影響を受けるウェブサイトに偽の管理者アカウントが追加されたという報告を受けて発覚しました。これを受け、プラグイン開発者はバージョン2.6.4、2.6.5、2.6.6で部分的な修正をリリースしました。近日中に新たなアップデートがリリースされる予定です。
Ultimate Memberは新リリースで、UM Formsを通じて権限昇格の脆弱性が悪用され、権限のないユーザーが管理者レベルのWordPressユーザーを作成できると指摘しました。しかし、WPScanはパッチが不完全であり、複数の回避策が見つかったため、依然としてこのバグを悪用される可能性があると指摘しました。
この脆弱性は、apads、se_brutal、segs_brutal、wpadmins、wpengine_backup、wpenginerといった名前で新規アカウントを登録し、ウェブサイトの管理パネルから悪意のあるプラグインやテーマをアップロードするために悪用されています。Ultimateメンバーの方は、この脆弱性に対する完全なパッチが利用可能になるまで、プラグインを無効にすることをお勧めします。
[広告2]
ソースリンク
コメント (0)