The Hacker Newsによると、CVE-2023-3460 (CVSS スコア 9.8) として追跡されているこの脆弱性は、2023 年 6 月 29 日にリリースされた最新バージョン (2.6.6) を含む、Ultimate Member プラグイン (拡張機能) のすべてのバージョンに存在します。
Ultimate Memberは、WordPressウェブサイトでユーザープロフィールやコミュニティを作成するための人気プラグインです。アカウント管理機能も備えています。
WordPressセキュリティ企業のWPScanは、このセキュリティ上の欠陥は非常に深刻で、攻撃者がこれを悪用して管理者権限を持つ新しいユーザーアカウントを作成し、影響を受けるウェブサイトをハッカーが完全に制御できるようになると述べた。
Ultimate Member は、200,000 を超える Web サイトで使用されている人気のプラグインです。
脆弱性の詳細は、悪用への懸念から非公開となっています。Wordfenceのセキュリティ専門家によると、プラグインにはユーザーが更新できない禁止キーのリストがありますが、プラグインのバージョンで提供される値にスラッシュや文字エンコードを使用するなど、フィルターを回避する簡単な方法があるとのことです。
このセキュリティ脆弱性は、影響を受けるウェブサイトに偽の管理者アカウントが追加されたという報告を受けて発表されました。これを受けて、プラグイン開発者はバージョン2.6.4、2.6.5、2.6.6で部分的な修正をリリースしました。近日中に新たなアップデートがリリースされる予定です。
Ultimate Memberは新リリースで、UM Formsを通じて権限昇格の脆弱性が悪用され、外部のユーザーが管理者レベルのWordPressユーザーを作成できると指摘しました。しかし、WPScanはパッチが不完全であり、複数の回避策が見つかったため、依然としてこのバグを悪用される可能性があると指摘しました。
この脆弱性は、apads、se_brutal、segs_brutal、wpadmins、wpengine_backup、wpenginerといった名前で新規アカウントを登録し、ウェブサイトの管理パネルから悪意のあるプラグインやテーマをアップロードするために悪用されています。Ultimateメンバーの方は、この脆弱性に対する完全なパッチが利用可能になるまで、プラグインを無効にすることをお勧めします。
[広告2]
ソースリンク
コメント (0)