The Hacker Newsによると、CVE-2023-3460（CVSSスコア9.8）として追跡されているこの脆弱性は、2023年6月29日にリリースされた最新バージョン（2.6.6）を含むUltimate Memberプラグインのすべてのバージョンに存在します。

Ultimate Member は、WordPress ウェブサイトでユーザー プロファイルとコミュニティを作成するための人気のプラグインです。このユーティリティはアカウント管理機能も提供します。

WordPress セキュリティ企業の WPScan は、このセキュリティ上の欠陥は非常に深刻で、攻撃者がこれを悪用して管理者権限を持つ新しいユーザー アカウントを作成し、影響を受ける Web サイトをハッカーが完全に制御できるようになると述べています。

脆弱性の詳細は悪用される懸念があるため公表されていない。 Wordfence のセキュリティ専門家は、プラグインにはユーザーが更新できない禁止キーのリストがあるものの、プラグインのバージョンで提供される値にスラッシュや文字エンコードを使用するなど、フィルターを回避する簡単な方法があると説明しています。

このセキュリティ上の欠陥は、影響を受けるウェブサイトに偽の管理者アカウントが追加されたとの報告が浮上した後に発表された。このため、プラグイン開発者はバージョン 2.6.4、2.6.5、2.6.6 で部分的な修正をリリースしました。今後数日以内に新しいアップデートがリリースされる予定です。

Ultimate Member は新しいリリースで、権限昇格の脆弱性が UM Forms を通じて悪用され、部外者が管理者レベルの WordPress ユーザーを作成できるようになると述べています。しかし、WPScan は、パッチが不完全であり、それを回避する複数の方法を発見しており、バグが依然として悪用可能であることを指摘しています。

この脆弱性は、apads、se_brutal、segs_brutal、wpadmins、wpengine_backup、wpenginer という名前で新しいアカウントを登録し、Web サイトの管理パネルから悪意のあるプラグインやテーマをアップロードするために使用されています。 Ultimate Member ユーザーは、このセキュリティ脆弱性に対する完全なパッチが利用可能になるまで、プラグインを無効にする必要があります。