У шокуючому викритті відома охоронна компанія Wordfence нещодавно виявила критичну вразливість нульового дня в широко використовуваному плагіні «системи входу користувачів» Ultimate Member на платформі блогів WordPress. Ця вразливість дозволяє хакерам використовувати їхні облікові записи та отримувати підвищені права адміністратора, фактично надаючи їм повний контроль над цільовими веб-сайтами.
200 000 веб-сайтів вже використовували плагін
Вада безпеки, ідентифікована як CVE-2023-3460, отримала оцінку ризику 9,8, що вказує на її серйозність. Завдяки цій уразливості кіберзлочинці можуть обійти вбудовані заходи безпеки плагіна, дозволяючи їм маніпулювати конфігураційними даними wp_capabilities облікових записів користувачів. Налаштувавши власні облікові записи як адміністратори, хакери можуть отримати повний контроль над скомпрометованими веб-сайтами.
Розробник плагіна швидко відреагував на проблему. 26 червня вони випустили Ultimate Member версії 2.6.3, яка забезпечила часткове пом’якшення вразливості. Згодом, 1 липня, була випущена версія 2.6.7, яка пропонує повне виправлення недоліку безпеки.
На жаль, стало відомо, що понад 200 000 веб-сайтів WordPress включили плагін Ultimate Member. Враховуючи велику кількість установок і можливу затримку в оновленні плагіна через неадекватне поширення інформації, ці веб-сайти залишаються виключно вразливими для використання зловмисниками.
Веб-адміністраторам і власникам веб-сайтів настійно рекомендується вжити негайних заходів, оновивши свій плагін Ultimate Member до останньої версії 2.6.7, щоб захистити свої веб-сайти від потенційних атак. Крім того, вкрай важливо залишатися пильним і відстежувати будь-які підозрілі дії або спроби несанкціонованого доступу.
Експерти наголошують на важливості оперативного усунення вразливостей програмного забезпечення та оновлення останніх патчів безпеки. Регулярне оновлення плагінів і програмного забезпечення є важливою практикою, яка забезпечує цілісність веб-сайту та захист від нових кіберзагроз. Джерело