Luka we wtyczce Ultimate Member to poważnie zagrożenie
Wtyczka Ultimate Member, którą pobrano już ponad 200 tysięcy razy na platformie WordPress, ma ułatwiać proces rejestracji użytkowników i pomagać w zarządzaniu członkostwem na stronach WordPress. Wszystkie wersje tej wtyczki są narażone na wykorzystanie luki, oznaczonej jako CVE-2023-3460, która otrzymała krytyczny wskaźnik zagrożenia na poziomie 9,8.
Użytkownik platformy wsparcia WordPress o pseudonimie softwaregeek wyraził swoje obawy na temat tej podatności. Wskazał, że „pozwala ona nieuwierzytelnionemu napastnikowi na zarejestrowanie się jako administrator i przejęcie pełnej kontroli nad stroną”. Atakujący może ominąć filtr, co pozwala mu na zmodyfikowanie wpisu wp_capabilities, a tym samym na uzyskanie statusu administratora strony.
Członek zespołu wsparcia wtyczki, andrewshu, potwierdził, że wersje 2.6.4, 2.6.5 oraz 2.6.6 w pewnym stopniu zabezpieczają strony przed tą podatnością, jednak użytkownicy nadal pozostają narażeni na cyberataki. Firma Wordfence, która pierwsza zaalarmowała o problemie, wezwała użytkowników wtyczki do jej odinstalowania do momentu wydania poprawki. Firma ogłosiła także, że wydała regułę firewalla, aby pomóc chronić niektórych swoich klientów.
Aktualizacja jest kluczowa
Później andrewshu potwierdził, że rozwiązaniem problemu jest wersja 2.6.7 Ultimate Member. Potwierdzają to szczegóły w rejestrze zmian wtyczki: „Naprawiono: podatność na eskalację uprawnień wykorzystywaną przez formularze UM. Znane na świecie zagrożenie pozwoliło nieznajomym na tworzenie użytkowników WordPress na poziomie administratora”. W notatkach twórca wtyczki zaleca użytkownikom, aby upewnili się, że zaktualizowali już wtyczkę do wersji 2.6.7 i sprawdzili na swojej stronie użytkowników na poziomie administratora – na wypadek, gdyby padli ofiarą tego exploitu.