Уязвимость плагина Ultimate Member в WordPress позволит хакерам захватить более 100 000 сайтов

Дата: 10.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Уязвимость плагина Ultimate Member в WordPress позволит хакерам захватить более 100 000 сайтов

Администраторам сайтов WordPress, использующих плагин Ultimate Member, рекомендуется обновить его до новой версии, чтобы не допустить проведения кибератак, при которых хакеры используют нескольких серьезных и простых уязвимостей.

Ultimate Member – плагин для WordPress, который сейчас имеет более 100 000 активных установок. Основная его задача – управление профилями и членством. С помощью плагина можно с легкостью регистрироваться на сайте и создавать онлайн-сообщества с настраиваемыми привилегиями для разных пользовательских групп.

ИБ-специалисты из команды Wordfence Threat Intelligence опубликовали вчера отчет, согласно которому в плагине Ultimate Member старых версий были найдены три уязвимости, с помощью которых хакеры потенциально смогут повысить свои привилегии до администратора и получить полный контроль над сайтом WordPress.

Разработчики плагина Ultimate Member еще 26 октября получили информацию о найденных уязвимостях, после чего оперативно устранили их, выпустив новую версию плагина 2.1.12.

Одна из обнаруженных уязвимостей рассматривается экспертами из Wordfence Threat Intelligence как «очень серьезная», потому что с ее помощью любые пользователи, не прошедшие аутентификацию, смогут легко повысить свои привилегии, получив права администратора: «Как только киберпреступник получит администраторские права на сайте WordPress, он, по сути, захватывает его – он может выполнять любые действия, начиная от отключения сайта и заканчивая заражением вредоносным ПО».

Две обнаруженные в плагине Ultimate Member уязвимости получили максимально высокий рейтинг по CVSS – 10 из 10, потому что они представлены в виде ошибок повышений привилегий без аутентификации через пользовательские метаданные (предоставление администраторских прав при регистрации).

Третья уязвимость плагина Ultimate Member получила рейтинг 9,8 из 10 CVSS, потому что при ее эксплуатации киберпреступникам не требуется наличие доступа wp-admin к странице сайта profile.php. Уязвимость также считается крайне серьезной, потому что позволяет киберпреступникам повышать привилегии с приложением незначительных усилий для этого.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *