Pas moins de 200 000 sites Web WordPress sont exposés au risque d’attaques en cours exploitant une vulnérabilité de sécurité critique non corrigée dans le plug-in Ultimate Member.
La faille, identifiée comme CVE-2023-3460 (score CVSS : 9,8), affecte toutes les versions du plugin Ultimate Member, y compris la dernière version (2.6.6) qui a été publiée le 29 juin 2023.
Le membre ultime est un plugin populaire qui facilite la création de profils d’utilisateurs et de communautés sur les sites WordPress. Il fournit également des fonctionnalités de gestion de compte.
« Il s’agit d’un problème très grave : des attaquants non authentifiés peuvent exploiter cette vulnérabilité pour créer de nouveaux comptes d’utilisateurs avec des privilèges d’administration, leur donnant le pouvoir de prendre le contrôle total des sites concernés », a déclaré la société de sécurité WordPress WPScan. a dit dans une alerte.
Bien que les détails sur la faille aient été retenus en raison d’abus actifs, cela découle d’une logique de liste de blocage inadéquate mise en place pour modifier la méta-valeur utilisateur wp_capabilities d’un nouvel utilisateur en celle d’un administrateur et obtenir un accès complet au site.
« Bien que le plug-in ait une liste prédéfinie de clés interdites, qu’un utilisateur ne devrait pas pouvoir mettre à jour, il existe des moyens triviaux de contourner les filtres mis en place, tels que l’utilisation de divers cas, barres obliques et codage de caractères dans une valeur de méta-clé fournie. dans les versions vulnérables du plugin », Chloe Chamberland, chercheuse de Wordfence a dit.
Le problème est apparu après rapports a émergé de comptes d’administrateurs malveillants ajoutés aux sites concernés, incitant les responsables du plugin à publier des correctifs partiels dans les versions 2.6.4, 2.6.5 et 2.6.6. Une nouvelle mise à jour est attendu à paraître dans les prochains jours.
« Une vulnérabilité d’escalade de privilèges utilisée via les formulaires UM », a déclaré Ultimate Member dans ses notes de publication. « Connue dans la nature, cette vulnérabilité a permis à des étrangers de créer des utilisateurs WordPress de niveau administrateur. »
WPScan, cependant, a souligné que les correctifs sont incomplets et qu’il a trouvé de nombreuses méthodes pour les contourner, ce qui signifie que le problème est toujours activement exploitable.
Dans les attaques observées, la faille est utilisée pour enregistrer de nouveaux comptes sous les noms apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup et wpenginer pour télécharger des plugins et des thèmes malveillants via le panneau d’administration du site.
Il est conseillé aux utilisateurs d’Ultimate Member de désactiver le plug-in jusqu’à ce qu’un correctif approprié qui comble complètement la faille de sécurité soit disponible. Il est également recommandé d’auditer tous les utilisateurs de niveau administrateur sur les sites Web pour déterminer si des comptes non autorisés ont été ajoutés.