Više of 200 000 WordPress korisnika koji koriste popularni plugin „Ultimate Member“ su u opasnosti od hakiranja.
Mana u pluginu, nazvana CVE-2023-3560 utječe na sve verzije plugina, uključujući i posljednju verziju (2.6.6) izdanu 29. Lipnja.
Ultimate Member je jedan od najpopularnijih dodataka za WordPress stranice koji omogućuje stvaranje i održavanje računa za članove te okupljanje članova u zajednice.
Kako su rekli iz kompanije za cyber sigurnost WPScan, ovo je vrlo ozbiljan problem koji dozvoljava napadačima da stvore nove račune s punim dopuštenjima (tzv. admin accounts) nakon čega imaju potpun pristup web mjestu i funkcijama upravljanja.
Vrlo malo vijesti o ovoj ranjivosti je dospjelo u medije jer je potencijal za napad vrlo visok, no čini se da ranjivost dolazi od loše postavljene logike za upravljanje računima što pak dozvoljava korisnicima da sami odrede razinu pristupa.
Iako dodatak ima predefiniranu listu zabranjenih ključeva koje korisnik ne bi smio ažurirati, postoje jednostavni načini za zaobilaženje postavljenih filtara.
Problem je izašao na vidjelo nakon što su se pojavili izvještaji o neovlaštenim administratorskim računima koji su dodani na pogođene stranice, što je zakrpano, barem djelomično u verzijama 2.6.4, 2.6.5 i 2.6.6. Očekuje se da će uskoro biti objavljena nova nadogradnja.
Međutim, WPScan navodi da zakrpe nisu potpune te da postoje brojne metode za zaobilaženje, što znači da se problem i dalje može iskorištavati.
U dosad registriranim napadima propust se koristi za registraciju novih računa pod imenima apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup i wpenginer kako bi se putem administratorske ploče web stranice učitali zlonamjerni dodaci i teme.
Korisnicima Ultimate Membera se preporučuje da onemoguće dodatak dok ne bude dostupno pravo rješenje koje će u potpunosti zatvoriti sigurnosnu rupu. Također se preporučuje provjera svih korisnika s administratorskim ovlastima na web stranicama kako bi se utvrdilo jesu li dodani neovlašteni računi.
Objavljena je verzija 2.6.7 Ultimate Membera Autori Ultimate Membera su 1. srpnja objavili verziju 2.6.7 dodatka kako bi riješili aktivno iskorištavanu ranjivost eskalacije privilegija. Kao dodatna sigurnosna mjera, također planiraju ugraditi novu značajku unutar dodatka koja će omogućiti administratorima web stranica da resetiraju lozinke za sve korisnike.
