Търсене
Close this search box.

До 200 000 уебсайта на WordPress са изложени на риск от постоянни атаки, използващи критична непоправена уязвимост в сигурността на плъгина Ultimate Member.

Недостатъкът, проследен като CVE-2023-3460 (CVSS оценка: 9,8), засяга всички версии на плъгина Ultimate Member, включително най-новата версия (2.6.6), която беше пусната на 29 юни 2023 г.

Ultimate Member е популярна приставка, която улеснява създаването на потребителски профили и общности в сайтове на WordPress. Тя също така предоставя функции за управление на акаунти.

„Това е много сериозен проблем: неавтентифицирани нападатели могат да се възползват от тази уязвимост, за да създадат нови потребителски акаунти с административни привилегии, което им дава възможност да поемат пълен контрол над засегнатите сайтове“, се казва в предупреждението на фирмата за сигурност на WordPress WPScan.

Въпреки че подробностите за недостатъка не се съобщават поради активна злоупотреба, той произтича от неадекватна логика на блок-листа, въведена с цел промяна на потребителската метастойност wp_capabilities на нов потребител до тази на администратор и получаване на пълен достъп до сайта.

„Въпреки че плъгинът има предварително зададен списък със забранени ключове, които потребителят не би трябвало да може да актуализира, в уязвимите версии на плъгина има тривиални начини за заобикаляне на въведените филтри, като например използване на различни падежи, наклонени черти и кодиране на символи в предоставената мета ключова стойност“, казва изследователят от Wordfence Клои Чембърланд.

Проблемът излезе наяве, след като се появиха съобщения за добавяне на нелоялни администраторски акаунти в засегнатите сайтове, което накара поддръжащите плъгина да издадат частични поправки във версии 2.6.4, 2.6.5 и 2.6.6. Очаква се в близките дни да бъде пусната нова актуализация.

„Уязвимост за повишаване на привилегиите, използвана чрез UM Forms“, се казва в бележките към изданието на Ultimate Member. „Известна в дивата природа, тази уязвимост позволяваше на непознати да създават потребители на WordPress на ниво администратор.“

WPScan обаче посочи, че кръпките са непълни и че е открил многобройни методи за тяхното заобикаляне, което означава, че проблемът все още може да се използва активно.

При наблюдаваните атаки недостатъкът се използва за регистриране на нови акаунти под имената apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup и wpenginer, за да се качват зловредни плъгини и теми през административния панел на сайта.

На потребителите на Ultimate Member се препоръчва да деактивират плъгина, докато не бъде предоставен подходящ пач, който напълно да запуши дупката в сигурността. Препоръчва се също така да се направи одит на всички потребители на ниво администратор в сайтовете, за да се установи дали не са добавени неоторизирани акаунти.

Ultimate Member Версия 2.6.7: Издадена

 

Авторите на Ultimate Member са пуснали версия 2.6.7 на плъгина на 1 юли, за да отстранят активно експлоатирания недостатък, свързан с повишаване на привилегиите. Като допълнителна мярка за сигурност те също така планират да доставят нова функция в плъгина, която да позволи на администраторите на уебсайтове да нулират паролите на всички потребители.

„2.6.7 въвежда бял списък за метаключовете, които съхраняваме при изпращането на формуляри“, заявиха поддържащите в независима консултация. „2.6.7 също така разделя данните за настройките на формуляра и изпратените данни и ги управлява в 2 различни променливи.“

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
15 септември 2024

ФБР: Игнорирайте фалшивите твърдения за хакнати...

Федералното бюро за разследване (ФБР) и Агенцията за киберсигурност...
15 септември 2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния метод на заключв...
Бъдете социални
Още по темата
13/09/2024

Palo Alto Networks поправя ...

В сряда Palo Alto Networks информира...
12/09/2024

Intel предупреждава за над ...

Във вторник Intel публикува препоръки за...
12/09/2024

Ivanti поправя критични уяз...

Доставчикът на ИТ софтуер Ivanti обяви...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!