Có tới 200.000 trang web WordPress có nguy cơ bị tấn công liên tục khai thác lỗ hổng bảo mật nghiêm trọng chưa được vá trong plugin Ultimate Member.
Lỗ hổng này, có tên mã CVE-2023-3460 (điểm CVSS: 9.8), ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm phiên bản mới nhất (2.6.6) được phát hành vào ngày 29 tháng 6 năm 2023.
Ultimate Member là một plugin phổ biến giúp tạo hồ sơ người dùng và cộng đồng trên các trang web WordPress. Nó cũng cung cấp các tính năng quản lý tài khoản.
"Đây là một vấn đề rất nghiêm trọng: những kẻ tấn công không được xác thực có thể khai thác lỗ hổng này để tạo tài khoản người dùng mới với các đặc quyền quản trị, trao cho họ quyền kiểm soát hoàn toàn các trang web bị ảnh hưởng", công ty bảo mật WordPress WPScan cho biết .
Mặc dù chi tiết về lỗ hổng này chưa được công bố do việc tận dụng lỗ hổng đang diễn ra, nhưng nguyên nhân gốc rễ xuất phát từ việc quản lý danh sách chặn không đầy đủ, cho phép kẻ tấn công thay đổi giá trị meta wp_capabilities của một người dùng mới thành quản trị viên và có quyền truy cập đầy đủ vào trang web.
Người dùng của Ultimate Member được khuyến nghị tắt plugin này cho đến khi có một bản vá đúng đắn để khắc phục hoàn toàn lỗ hổng bảo mật. Cũng nên kiểm tra tất cả các tài khoản cấp quản trị trên trang web để xác định xem có bất kỳ tài khoản trái phép nào đã được thêm vào hay không.
Ultimate Member phiên bản 2.6.7 đã được phát hành
Tác giả Ultimate Member đã phát hành phiên bản 2.6.7 của plugin vào ngày 1 tháng 7 để khắc phục lỗ hổng tăng quyền được khai thác một cách chủ động. Như một biện pháp bảo mật bổ sung, họ cũng dự định tích hợp một tính năng mới trong plugin để cho phép quản trị viên trang web thiết lập lại mật khẩu cho tất cả người dùng.
"Phiên bản 2.6.7 giới thiệu chế độ cho phép duy nhất những khóa meta mà chúng tôi lưu trữ khi gửi biểu mẫu," những người duy trì nói trong một thông báo riêng. "Phiên bản 2.6.7 cũng tách riêng dữ liệu cài đặt biểu mẫu và dữ liệu đã được gửi và xử lý chúng trong 2 biến khác nhau."