200.000 kadar WordPress web sitesi, Ultimate Üye eklentisindeki yama uygulanmamış kritik bir güvenlik açığından yararlanan devam eden saldırıların riski altındadır.
CVE-2023-3460 (CVSS puanı: 9.8) olarak izlenen kusur, 29 Haziran 2023’te yayınlanan en son sürüm (2.6.6) dahil olmak üzere Ultimate Üye eklentisinin tüm sürümlerini etkiliyor.
Ultimate Üye, WordPress sitelerinde kullanıcı profilleri ve toplulukların oluşturulmasını kolaylaştıran popüler bir eklentidir. Ayrıca hesap yönetimi özellikleri sağlar.
WordPress güvenlik firması WPScan bir uyarıda, “Bu çok ciddi bir sorun: kimliği doğrulanmamış saldırganlar, yönetici ayrıcalıklarına sahip yeni kullanıcı hesapları oluşturmak için bu güvenlik açığından yararlanabilir ve onlara etkilenen sitelerin tam kontrolünü ele geçirme gücü verebilir.”
Aktif kötüye kullanım nedeniyle kusurla ilgili ayrıntılar gizlenmiş olsa da, bu, yeni bir kullanıcının wp_capabilities kullanıcı meta değerini bir yöneticininkiyle değiştirmek ve siteye tam erişim elde etmek için uygulamaya konulan yetersiz bir blok listesi mantığından kaynaklanmaktadır.
“Eklentinin, bir kullanıcının güncelleme yapamaması gereken, önceden tanımlanmış bir yasaklanmış anahtarlar listesi olsa da, sağlanan bir meta anahtar değerinde çeşitli durumlar, eğik çizgiler ve karakter kodlaması kullanmak gibi, filtreleri atlamanın önemsiz yolları vardır. eklentinin savunmasız sürümlerinde,” dedi Wordfence araştırmacısı Chloe Chamberland.
Sorun, etkilenen sitelere hileli yönetici hesaplarının eklendiğine dair raporların ortaya çıkmasıyla ortaya çıktı ve eklenti bakımcılarının 2.6.4, 2.6.5 ve 2.6.6 sürümlerinde kısmi düzeltmeler yayınlamasını istedi. Önümüzdeki günlerde yeni bir güncellemenin yayınlanması bekleniyor.
Ultimate Member, sürüm notlarında “UM Formları aracılığıyla kullanılan bir ayrıcalık yükseltme güvenlik açığı” dedi. “Vahşi ortamda bilinen bu güvenlik açığı, yabancıların yönetici düzeyinde WordPress kullanıcıları oluşturmasına izin verdi.”
Ancak WPScan, yamaların eksik olduğunu ve bunları aşmak için çok sayıda yöntem bulduğunu, yani sorunun hala aktif olarak kullanılabilir olduğunu belirtti.
Gözlemlenen saldırılarda zafiyet, apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup ve wpenginer adlarıyla yeni hesaplar açarak sitenin yönetim paneli üzerinden kötü amaçlı eklenti ve temalar yüklemek için kullanılıyor.
Ultimate Üye kullanıcılarına, güvenlik açığını tamamen kapatan uygun bir yama sağlanana kadar eklentiyi devre dışı bırakmaları önerilir. Yetkisiz hesapların eklenip eklenmediğini belirlemek için web sitelerindeki tüm yönetici düzeyindeki kullanıcıları denetlemeniz de önerilir.