Mais de 200.000 sites WordPress estão expostos a ataques contínuos visando uma vulnerabilidade crítica no plug-in Ultimate Member.
Projetado para facilitar o registro e o login dos usuários nos sites, o plug-in permite que os proprietários do site adicionem perfis de usuário, definam funções, criem campos de formulário personalizados e diretórios de membros e muito mais.
Rastreado como CVE-2023-3460 (pontuação CVSS de 9,8), o defeito de segurança recentemente identificado no Ultimate Member permite que invasores adicionem uma nova conta de usuário ao grupo de administradores.
Alguns dos usuários do plug-in observaram a criação de contas não autorizadas e as denunciaram esta semana, mas os ataques parecem estar em andamento pelo menos desde o início de junho.
De acordo com a empresa de segurança WordPress WPScano problema está enraizado em um conflito entre a lógica da lista de bloqueio do plug-in e a maneira como o WordPress trata as chaves de metadados.
O Ultimate Member usa listas de bloqueio para armazenar chaves de metadados que os usuários não devem manipular e verifica essas listas sempre que os usuários tentam registrar essas chaves ao criar contas.
Devido à diferença de operação entre o plug-in e o WordPress, os invasores conseguiram induzir o plug-in a atualizar as chaves de metadados, incluindo uma que armazena a função e os recursos do usuário, explica o WPScan. A empresa fornece indicadores de comprometimento (IoCs) associados aos ataques observados.
Isso permitiu que invasores registrassem contas de usuário com a função de administrador e pelo menos dois proprietários de sites observado e relatado a atividade suspeita.
Os mantenedores do plug-in, que descrevem o problema como um bug de escalonamento de privilégios, tentaram resolvê-lo nas duas últimas versões do Ultimate Member, mas não conseguiram corrigi-lo completamente. No entanto, eles reconheceu a contínua exploração na natureza.
Os proprietários do site são aconselhados a desativar o Ultimate Member para evitar a exploração da vulnerabilidade. Eles também devem auditar todas as funções de administrador em seus sites, para identificar contas não autorizadas.
:
: