Krytyczne zagrożenie w WordPress: luka we wtyczce Ultimate Member

Bezpieczeństwo stron internetowych opartych na WordPressie wisi na włosku z powodu luki w popularnej wtyczce Ultimate Member. Podatność na cyberataki osiągnęła krytyczny wskaźnik zagrożenia - 9,8. Jest to problem, który dotyka wszystkich wersji tej wtyczki, służącej do zarządzania rejestracją użytkowników i członkostwem na stronach.
https://cms.pracuj.pl/content/uploads/2023/08/WordPress.jpg

W tym artykule

  • Podatność we wtyczce Ultimate Member na platformie WordPress pozwala nieuwierzytelnionym atakującym na rejestrację jako administrator i przejęcie kontroli nad stroną.
  • Firma Wordfence, która pierwsza zasygnalizowała problem, zaleciła odinstalowanie wtyczki do momentu wydania poprawki.
  • Wydano wersję 2.6.7 wtyczki Ultimate Member jako poprawkę. Jej twórcy zalecają użytkownikom natychmiastową aktualizację i sprawdzenie uprawnień użytkowników na swojej stronie.

Spis treści

  1. Luka w zabezpieczeniach w Ultimate Member to poważnie zagrożenie
  2. Aktualizacja jest kluczowa

Strony oparte na WordPressie stoją w obliczu potencjalnego zagrożenia, gdyż podatność wtyczki Ultimate Member jest wykorzystywana przez niepożądane podmioty. Szybka reakcja, jaką jest aktualizacja, może jednak zapobiec przejęciu kontroli nad stroną przez zewnętrzne podmioty.

Luka we wtyczce Ultimate Member to poważnie zagrożenie

Wtyczka Ultimate Member, którą pobrano już ponad 200 tysięcy razy na platformie WordPress, ma ułatwiać proces rejestracji użytkowników i pomagać w zarządzaniu członkostwem na stronach WordPress. Wszystkie wersje tej wtyczki są narażone na wykorzystanie luki, oznaczonej jako CVE-2023-3460, która otrzymała krytyczny wskaźnik zagrożenia na poziomie 9,8.

Użytkownik platformy wsparcia WordPress o pseudonimie softwaregeek wyraził swoje obawy na temat tej podatności. Wskazał, że „pozwala ona nieuwierzytelnionemu napastnikowi na zarejestrowanie się jako administrator i przejęcie pełnej kontroli nad stroną”. Atakujący może ominąć filtr, co pozwala mu na zmodyfikowanie wpisu wp_capabilities, a tym samym na uzyskanie statusu administratora strony.

Członek zespołu wsparcia wtyczki, andrewshu, potwierdził, że wersje 2.6.4, 2.6.5 oraz 2.6.6 w pewnym stopniu zabezpieczają strony przed tą podatnością, jednak użytkownicy nadal pozostają narażeni na cyberataki. Firma Wordfence, która pierwsza zaalarmowała o problemie, wezwała użytkowników wtyczki do jej odinstalowania do momentu wydania poprawki. Firma ogłosiła także, że wydała regułę firewalla, aby pomóc chronić niektórych swoich klientów.

Aktualizacja jest kluczowa

Później andrewshu potwierdził, że rozwiązaniem problemu jest wersja 2.6.7 Ultimate Member. Potwierdzają to szczegóły w rejestrze zmian wtyczki: „Naprawiono: podatność na eskalację uprawnień wykorzystywaną przez formularze UM. Znane na świecie zagrożenie pozwoliło nieznajomym na tworzenie użytkowników WordPress na poziomie administratora”. W notatkach twórca wtyczki zaleca użytkownikom, aby upewnili się, że zaktualizowali już wtyczkę do wersji 2.6.7 i sprawdzili na swojej stronie użytkowników na poziomie administratora – na wypadek, gdyby padli ofiarą tego exploitu.

the:protocol © 2026 Grupa Pracuj S.A.