Vulnerabilità del plugin Ultimate Member WordPress, con oltre 200.000 installazioni attive sfruttate attivamente su siti WordPress senza patch. Si dice che la vulnerabilità richieda uno sforzo minimo per aggirare i filtri di sicurezza.
Raddoppia il plugin definitivo per i membri
Il plug-in WordPress Ultimate Member consente agli editori di creare comunità online sui loro siti Web.
Il plug-in funziona creando un processo semplice per le iscrizioni degli utenti e la creazione del profilo utente. È un plugin popolare soprattutto per i siti di appartenenza.
La versione gratuita del plugin ha un generoso set di funzionalità tra cui:
Anche i profili utente front-end, la registrazione, l’accesso e gli editori possono creare directory per i membri.
Il plug-in conteneva anche un bug critico che consentiva ai visitatori del sito di creare profili dei membri con privilegi principalmente a livello di amministratore.
Database di sicurezza WPScan Descrive la gravità della vulnerabilità:
Il plug-in non impedisce ai visitatori di creare account utente con capacità arbitrarie, consentendo di fatto agli aggressori di creare account amministratore a piacimento.
Questo è attivamente sfruttato in natura”.
Aggiornamento della sicurezza non riuscito
La vulnerabilità è stata scoperta alla fine di giugno 2023 e gli editori di Ultimate Member hanno risposto rapidamente con una patch per chiudere la vulnerabilità.
Questa patch per la vulnerabilità è stata rilasciata nella versione 2.6.5, pubblicata il 28 giugno.
l’ufficiale Registro delle modifiche per il plug-in inserzionista:
Risolto: vulnerabilità di escalation dei privilegi utilizzata dai moduli di messaggistica unificata.
È noto che la vulnerabilità ha consentito agli estranei di creare utenti WordPress a livello di amministratore.
Aggiorna immediatamente e controlla tutti gli utenti a livello di amministratore sul tuo sito web. “
Tuttavia, questa correzione non ha risolto completamente la vulnerabilità e gli hacker hanno continuato a sfruttarla sui siti Web.
I ricercatori di sicurezza di Wordfence hanno analizzato il plug-in e il 29 giugno hanno determinato che la patch in realtà non funzionava. descrivendo le loro scoperte In un post sul blog:
“Dopo ulteriori indagini, abbiamo scoperto che questa vulnerabilità viene attivamente sfruttata e non è stata adeguatamente corretta nell’ultima versione disponibile, che è la 2.6.6 al momento della scrittura.”
Il problema era così grave che Wordfence ha descritto lo sforzo necessario per hackerare il plugin come banale.
Sebbene il plug-in abbia un elenco predefinito di chiavi bloccate, che l’utente non dovrebbe essere in grado di aggiornare, esistono modi banali per aggirare i filtri impostati come l’utilizzo di diverse maiuscole, barre e codifica dei caratteri nel valore della meta-chiave fornito in debole versioni del plug-in.
Ciò consente a un utente malintenzionato di impostare il meta valore dell’utente wp_capabilities, che controlla il ruolo dell’utente sul sito, su “admin”.
Questo dà all’attaccante pieno accesso al sito compromesso quando viene sfruttato con successo. “
Il livello utente amministratore è il livello di accesso più alto per un sito WordPress.
Ciò che rende questo exploit particolarmente preoccupante è che questa classe è chiamata “escalation di privilegi non autenticati”, il che significa che l’hacker non ha bisogno di alcun livello di accesso al sito Web per hackerare il plug-in.
L’ultimo membro si scusa
Il team di Ultimate Member ha pubblicato delle scuse pubbliche ai propri utenti, fornendo un resoconto completo di ciò che è accaduto e di come hanno risposto.
Va notato che la maggior parte delle aziende rilascia una patch e rimane in silenzio. È quindi encomiabile e responsabile che Ultimate Member tratti i propri clienti con franchezza riguardo agli incidenti di sicurezza.
Innanzitutto, vogliamo scusarci per queste vulnerabilità nel codice del nostro plug-in e in qualsiasi sito Web interessato e per la preoccupazione che l’aver appreso delle vulnerabilità potrebbe aver causato.
Non appena abbiamo appreso che le vulnerabilità sono state scoperte nel plug-in, abbiamo immediatamente iniziato ad aggiornare il codice per correggere le vulnerabilità.
Abbiamo rilasciato diversi aggiornamenti dopo la divulgazione mentre lavoravamo sulle vulnerabilità e vogliamo ringraziare di cuore il team di WPScan per aver fornito assistenza e guida in merito dopo averci contattato per rivelare le vulnerabilità”.
Invita gli utenti del plug-in ad aggiornare immediatamente
I ricercatori di sicurezza di WPScan invitano tutti gli utenti di plug-in ad aggiornare immediatamente i loro siti alla versione 2.6.7.
Annuncio speciale dalle note di WPScan:
La campagna di hacking sta sfruttando attivamente il componente aggiuntivo del membro
Una nuova versione, 2.6.7, è stata rilasciata questo fine settimana e risolve il problema.
Se stai usando Ultimate Member, aggiorna a questa versione il prima possibile.
Questo è un problema molto serio: aggressori non autorizzati potrebbero sfruttare questa vulnerabilità per creare nuovi account utente con privilegi amministrativi, dando loro la possibilità di controllare completamente i siti interessati”.
Questa vulnerabilità è valutata 9,8 su una scala da 1 a 10, dove il livello 10 rappresenta il livello più grave.
Si consiglia vivamente agli utenti di plug-in di aggiornare immediatamente il software.
Immagine in primo piano di Shutterstock / Pedrorsfernandes