យោងតាម សារព័ត៌មាន The Hacker News ភាពងាយរងគ្រោះដែលត្រូវបានតាមដានជា CVE-2023-3460 (ពិន្ទុ CVSS 9.8) មាននៅក្នុងកំណែទាំងអស់នៃកម្មវិធីជំនួយ Ultimate Member រួមទាំងកំណែចុងក្រោយបំផុត (2.6.6) ដែលបានចេញផ្សាយនៅថ្ងៃទី 29 ខែមិថុនា ឆ្នាំ 2023។

Ultimate Member គឺជាកម្មវិធីជំនួយដ៏ពេញនិយមសម្រាប់បង្កើតទម្រង់អ្នកប្រើប្រាស់ និងសហគមន៍នៅលើគេហទំព័រ WordPress ។ ឧបករណ៍ប្រើប្រាស់នេះក៏ផ្តល់នូវមុខងារគ្រប់គ្រងគណនីផងដែរ។

WPScan - ក្រុមហ៊ុនសន្តិសុខ WordPress បាននិយាយថា កំហុសសុវត្ថិភាពនេះគឺធ្ងន់ធ្ងរណាស់ដែលអ្នកវាយប្រហារអាចកេងប្រវ័ញ្ចពួកគេដើម្បីបង្កើតគណនីអ្នកប្រើប្រាស់ថ្មីជាមួយនឹងសិទ្ធិគ្រប់គ្រង ដោយផ្តល់ឱ្យពួក Hacker នូវការគ្រប់គ្រងពេញលេញលើគេហទំព័រដែលរងផលប៉ះពាល់។

ព័ត៌មានលម្អិតអំពីភាពងាយរងគ្រោះត្រូវបានរក្សាទុក ដោយសារមានការព្រួយបារម្ភអំពីការរំលោភបំពាន។ អ្នកជំនាញផ្នែកសុវត្ថិភាពមកពី Wordfence ពិពណ៌នាថា ទោះបីជាកម្មវិធីជំនួយមានបញ្ជីនៃសោហាមឃាត់ដែលអ្នកប្រើប្រាស់មិនអាចធ្វើបច្ចុប្បន្នភាពបានក៏ដោយ មានវិធីសាមញ្ញក្នុងការរំលងតម្រងដូចជាការប្រើសញ្ញា ឬការអ៊ិនកូដតួអក្សរនៅក្នុងតម្លៃដែលបានផ្តល់នៅក្នុងកំណែកម្មវិធីជំនួយ។

កំហុសសុវត្ថិភាពត្រូវបានប្រកាសបន្ទាប់ពីមានរបាយការណ៍លេចចេញអំពីគណនីអ្នកគ្រប់គ្រងក្លែងក្លាយត្រូវបានបញ្ចូលទៅក្នុងគេហទំព័រដែលរងផលប៉ះពាល់។ នេះនាំឱ្យអ្នកអភិវឌ្ឍន៍កម្មវិធីជំនួយបញ្ចេញការកែផ្នែកនៅក្នុងកំណែ 2.6.4, 2.6.5 និង 2.6.6 ។ ការអាប់ដេតថ្មីត្រូវបានគេរំពឹងថានឹងចេញផ្សាយនៅក្នុងប៉ុន្មានថ្ងៃខាងមុខនេះ។

Ultimate Member បាននិយាយនៅក្នុងការចេញផ្សាយថ្មីថា ភាពងាយរងគ្រោះនៃការកើនឡើងសិទ្ធិត្រូវបានប្រើប្រាស់តាមរយៈ UM Forms ដែលអនុញ្ញាតឱ្យអ្នកខាងក្រៅបង្កើតអ្នកប្រើប្រាស់ WordPress កម្រិតអ្នកគ្រប់គ្រង។ ទោះជាយ៉ាងណាក៏ដោយ WPScan ចង្អុលបង្ហាញថាបំណះមិនពេញលេញទេ ហើយបានរកឃើញវិធីសាស្រ្តជាច្រើនដើម្បីគេចចេញពីវា មានន័យថា កំហុសនៅតែអាចទាញយកប្រយោជន៍បាន។

ភាពងាយរងគ្រោះនេះកំពុងត្រូវបានប្រើដើម្បីចុះឈ្មោះគណនីថ្មីក្រោមឈ្មោះ apads, se_brutal, segs_brutal, wpadmins, wpengine_backup និង wpenginer ដើម្បីបង្ហោះកម្មវិធីជំនួយ និងស្បែកដែលមានគំនិតអាក្រក់តាមរយៈផ្ទាំងគ្រប់គ្រងគេហទំព័រ។ អ្នក​ប្រើ Ultimate Member គួរ​បិទ​កម្មវិធី​ជំនួយ​រហូត​ដល់​មាន​បំណះ​ពេញ​លេញ​សម្រាប់​ភាព​ងាយ​រងគ្រោះ​ផ្នែក​សុវត្ថិភាព​នេះ។