До 200 000 уебсайта на WordPress са изложени на риск от постоянни атаки, използващи критична непоправена уязвимост в сигурността на плъгина Ultimate Member.

Недостатъкът, проследен като CVE-2023-3460 (CVSS оценка: 9,8), засяга всички версии на плъгина Ultimate Member, включително най-новата версия (2.6.6), която беше пусната на 29 юни 2023 г.

Ultimate Member е популярна приставка, която улеснява създаването на потребителски профили и общности в сайтове на WordPress. Тя също така предоставя функции за управление на акаунти.

„Това е много сериозен проблем: неавтентифицирани нападатели могат да се възползват от тази уязвимост, за да създадат нови потребителски акаунти с административни привилегии, което им дава възможност да поемат пълен контрол над засегнатите сайтове“, се казва в предупреждението на фирмата за сигурност на WordPress WPScan.

Въпреки че подробностите за недостатъка не се съобщават поради активна злоупотреба, той произтича от неадекватна логика на блок-листа, въведена с цел промяна на потребителската метастойност wp_capabilities на нов потребител до тази на администратор и получаване на пълен достъп до сайта.

„Въпреки че плъгинът има предварително зададен списък със забранени ключове, които потребителят не би трябвало да може да актуализира, в уязвимите версии на плъгина има тривиални начини за заобикаляне на въведените филтри, като например използване на различни падежи, наклонени черти и кодиране на символи в предоставената мета ключова стойност“, казва изследователят от Wordfence Клои Чембърланд.

Проблемът излезе наяве, след като се появиха съобщения за добавяне на нелоялни администраторски акаунти в засегнатите сайтове, което накара поддръжащите плъгина да издадат частични поправки във версии 2.6.4, 2.6.5 и 2.6.6. Очаква се в близките дни да бъде пусната нова актуализация.

„Уязвимост за повишаване на привилегиите, използвана чрез UM Forms“, се казва в бележките към изданието на Ultimate Member. „Известна в дивата природа, тази уязвимост позволяваше на непознати да създават потребители на WordPress на ниво администратор.“

WPScan обаче посочи, че кръпките са непълни и че е открил многобройни методи за тяхното заобикаляне, което означава, че проблемът все още може да се използва активно.

При наблюдаваните атаки недостатъкът се използва за регистриране на нови акаунти под имената apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup и wpenginer, за да се качват зловредни плъгини и теми през административния панел на сайта.

На потребителите на Ultimate Member се препоръчва да деактивират плъгина, докато не бъде предоставен подходящ пач, който напълно да запуши дупката в сигурността. Препоръчва се също така да се направи одит на всички потребители на ниво администратор в сайтовете, за да се установи дали не са добавени неоторизирани акаунти.

Ultimate Member Версия 2.6.7: Издадена

Авторите на Ultimate Member са пуснали версия 2.6.7 на плъгина на 1 юли, за да отстранят активно експлоатирания недостатък, свързан с повишаване на привилегиите. Като допълнителна мярка за сигурност те също така планират да доставят нова функция в плъгина, която да позволи на администраторите на уебсайтове да нулират паролите на всички потребители.

„2.6.7 въвежда бял списък за метаключовете, които съхраняваме при изпращането на формуляри“, заявиха поддържащите в независима консултация. „2.6.7 също така разделя данните за настройките на формуляра и изпратените данни и ги управлява в 2 различни променливи.“