多达200,000个WordPress网站正处于持续攻击的风险中,该攻击利用了最终会员插件中的一个关键的未打补丁的安全漏洞。
这个漏洞被追踪为CVE-2023-3460(CVSS评分:9.8),影响所有版本的Ultimate会员插件,包括2023年6月29日发布的最新版本(2.6.6)。
Ultimate Member是一个很受欢迎的插件,它可以在WordPress站点上创建用户配置文件和社区。它还提供帐户管理功能。
WordPress安全公司WPScan在一份警告中称:“这是一个非常严重的问题:未经身份验证的攻击者可能会利用这个漏洞创建具有管理权限的新用户帐户,使他们有能力完全控制受影响的网站。”
虽然有关该缺陷的详细信息已被扣留,由于主动滥用,它源于一个不充分的黑名单逻辑到位,以改变新用户的wp_capabilities用户元数据值为管理员,并获得对网站的完全访问权限。
“虽然插件有一个预设定义的禁用键列表,用户不应该能够更新,有一些琐碎的方法可以绕过设置的过滤器,例如在插件的易受版本中利用提供的元键值中的各种大小写、斜杠和字符编码,”Wordfence研究员克洛伊·钱伯兰德说。
这个问题曝光后,流氓管理员帐户被添加到受影响的网站的报告出现,促使插件维护人员在版本2.6.4,2.6.5和2.6.6问题的部分修复。预计将在未来几天发布新的更新。
“一个通过UM Forms使用的特权升级漏洞,”Ultimate Member在其发布说明中说。“众所周知,该漏洞允许陌生人创建管理员级别的WordPress用户。”
然而,WPScan指出,这些补丁并不完整,它发现了许多方法来规避它们,这意味着这个问题仍然是积极利用。
在观察到的攻击中,该漏洞被用来注册新帐户下的名称apadmins,se_brutal,segs_brutal,wpadmins,wpengine_backup和wpenginer上传恶意插件和主题通过网站的管理面板。
终极会员的用户被告知禁用插件,直到一个适当的补丁,完全堵塞安全漏洞是可用的。还建议审计网站上的所有管理员级别的用户,以确定是否添加了任何未经授权的帐户。
最终成员版本2.6.7发布
最终成员作者已经在7月1日发布了该插件的版本2.6.7,以解决主动利用的权限提升漏洞。作为一项额外的安全措施,他们还计划在插件中发布一个新功能,使网站管理员能够为所有用户重置密码。
“2.6.7引入了元密钥的白名单,我们在发送表单时存储它,”维护人员在一个独立的咨询中说。“2.6.7还将表单设置数据和提交的数据分开,并在两个不同的变量中操作它们。”