WordPress網(wǎng)站的終極會員插件中有多達(dá)20萬個未修補的關(guān)鍵安全漏洞����,如今面臨著很高的攻擊風(fēng)險����。
(相關(guān)資料圖)
該漏洞被追蹤為CVE-2023-3460 (CVSS得分:9.8)�����,影響所有版本的Ultimate Member插件���,包括2023年6月29日發(fā)布的最新版本(2.6.6)�。
1688351776_64a23420f178527ba21a6.png!small?1688351776696
Ultimate Member是一個比較受歡迎的插件�,它有助于在WordPress網(wǎng)站上創(chuàng)建用戶配置文件和社區(qū),并可提供帳戶管理功能�。
WordPress安全公司W(wǎng)PScan在警報中提到,這是一個非常嚴(yán)重的問題���,因為未經(jīng)身份驗證的攻擊者可能會利用這個漏洞創(chuàng)建具有管理權(quán)限的新用戶帳戶,從而實現(xiàn)奪取網(wǎng)站的完全控制權(quán)����。
但該漏洞源于不適當(dāng)?shù)淖柚沽斜磉壿?,所以無法將新用戶的wp_capabilities用戶元值更改為管理員的用戶元值,從而獲得對站點的完全訪問權(quán)�����。
Wordfence研究員Chloe Chamberland稱���,雖然該插件有一個預(yù)先定義的禁用鍵列表�����。但還有一些更簡單的方法可以繞過過濾器��,例如在插件的易受攻擊版本中利用各種大小寫�,斜杠和提供的元鍵值中的字符編碼。
有報道稱����,受影響的網(wǎng)站上出現(xiàn)了一些非法管理員賬戶,因此該插件在2.6.4��、2.6.5和2.6.6版本發(fā)布了部分修復(fù)程序,還有一個新的版本更新預(yù)計將在未來幾天發(fā)布���。
WPScan指出����,這些補丁是不完整的�,已經(jīng)發(fā)現(xiàn)了許多繞過它們的方法,這意味著該漏洞仍然可以被積極利用,比如���,該漏洞被用于以apadmins、se_野蠻、segs_野蠻、wpadmins��、wpengine_backup和wpenginer等名稱注冊新帳戶�����,通過網(wǎng)站的管理面板上傳惡意插件和主題。
此外WPScan還建議廣大用戶����,直到該安全漏洞被完全修復(fù)前,都建議Ultimate Member的用戶禁用該插件���,最好審計網(wǎng)站上的所有管理員級用戶,以確定是否添加了未經(jīng)授權(quán)的帳戶���。
終極會員2.6.7版發(fā)布7月1日���,Ultimate Member的作者發(fā)布了該插件的2.6.7版本����,以解決被積極利用的特權(quán)升級漏洞��。作為一項額外的安全措施����,他們還計劃在插件中發(fā)布一個新功能�����,使網(wǎng)站管理員能夠重置所有用戶的密碼����。
此外, 網(wǎng)站維護(hù)人員還表示:2.6.7引入了我們在發(fā)送表單時存儲的元鍵白名單,并且分離了表單設(shè)置數(shù)據(jù)和提交數(shù)據(jù),可在兩個不同的變量中操作它們。
