Плагин для Wordpress помогает хакерам совершать атаки

Уязвимость плагина Ultimate Member представляет опасность для сайтов на WordPress. Проблема с идентификатором CVE-2023-3460 позволяет злоумышленникам не просто создать новую учетную запись на сайте, но наделить ее правами администратора. И все это — в обход средств защиты и без ведома владельца.

Подобной тактикой взлома сайтов при помощи Ultimate Member  уже активно пользуются хакеры. Изначально плагин создан, чтобы сделать управление сайтом с нескольких учетных записей максимально удобным, позволяя добавлять на сайт новых пользователей и определять их права. Расширение весьма востребовано и уже насчитывает более двухсот тысяч скачиваний.

Для защиты данных в аккаунте Ultimate Member использует так называемые блок-листы. Регистрация нового ключа при создании аккаунта осуществляется после сверки со стоп-листом. Однако если изменить метаданные записи, можно успешно возвести себя в ранг администратора, тем самым обойдя защитные механизмы приложения.

Проблемы с данной уязвимостью Ultimate Member возникают не впервые. Однако предыдущие попытки разработчиков устранить ее закончились неудачей. Теперь пользователям рекомендуют обновить версию приложения до 2.6.7, а также осуществить сброс паролей и проверить список аккаунтов на предмет непрошенных администраторов.