The Hacker News 에 따르면, CVE-2023-3460(CVSS 점수 9.8)으로 추적된 이 취약점은 2023년 6월 29일에 출시된 최신 버전(2.6.6)을 포함하여 Ultimate Member 플러그인의 모든 버전에 존재합니다.

Ultimate Member는 WordPress 웹사이트에서 사용자 프로필과 커뮤니티를 만드는 데 인기 있는 플러그인입니다. 이 유틸리티는 계정 관리 기능도 제공합니다.

WPScan - WordPress 보안 회사는 이 보안 결함이 너무 심각해서 공격자가 이를 악용하여 관리자 권한이 있는 새로운 사용자 계정을 만들 수 있고, 해커가 영향을 받는 웹사이트를 완전히 제어할 수 있다고 밝혔습니다.

남용에 대한 우려로 인해 취약점에 대한 세부 정보는 공개되지 않았습니다. Wordfence의 보안 전문가들은 이 플러그인에는 사용자가 업데이트할 수 없는 금지된 키 목록이 있지만, 플러그인 버전에서 제공하는 값에 슬래시나 문자 인코딩을 사용하는 등 필터를 우회하는 간단한 방법이 있다고 설명합니다.

가짜 관리자 계정이 영향을 받은 웹사이트에 추가되었다는 보고가 나온 후 보안 결함이 발표되었습니다. 이로 인해 플러그인 개발자는 버전 2.6.4, 2.6.5 및 2.6.6에서 부분적인 수정 사항을 출시하게 되었습니다. 새로운 업데이트가 앞으로 며칠 안에 출시될 예정입니다.

Ultimate Member는 새로운 릴리스에서 권한 상승 취약점이 UM Forms를 통해 사용되어 외부인이 관리자 수준의 WordPress 사용자를 생성할 수 있다고 밝혔습니다. 그러나 WPScan은 패치가 불완전하며 이를 우회하는 여러 가지 방법을 발견했기 때문에 버그가 여전히 악용될 수 있다고 지적합니다.

이 취약점을 악용해 apads, se_brutal, segs_brutal, wpadmins, wpengine_backup, wpenginer라는 이름으로 새 계정을 등록하여 웹사이트 관리자 패널을 통해 악성 플러그인과 테마를 업로드하고 있습니다. Ultimate Member 사용자는 이 보안 취약점에 대한 전체 패치가 나올 때까지 플러그인을 비활성화해야 합니다.