نقص امنیتی افزونه وردپرس برای هکرها امکان ایجاد حساب‌های ادمین را فراهم می‌کند

حدود 200 هزار وبسایت وب سایت وردپرسی در معرض خطر حملات ناشی از یک آسیب پذیری امنیتی خطرناک در افزونه Ultimate Member هستند.

این نقص که به‌عنوان CVE-2023-3460 نامگذاری شده است؛ بر تمام نسخه‌های افزونه Ultimate Member، از جمله آخرین نسخه (2.6.6) که در 29 ژوئن 2023 منتشر شد، تأثیر می‌گذارد.

Ultimate Member یک افزونه محبوب است که ایجاد پروفایل‌های کاربر و انجمن را در سایت‌های وردپرسی تسهیل و قابلیت‌های پیشرفته مدیریت حساب را فراهم می‌کند.

شرکت امنیتی WPScan در هشداری گفت: «این یک مسئله بسیار جدی است: مهاجمان غیرقانونی ممکن است از این آسیب پذیری برای ایجاد حساب های کاربری جدید با سطح دسترسی ادمین سوء استفاده کنند و قدرت کنترل کامل سایت‌های آسیب دیده را به دست بیاورند.»

این مشکل پس از انتشار گزارش‌هایی مبنی بر اضافه شدن حساب‌های مدیر غیرمنتظره به سایت‌های آسیب‌دیده آشکار شد و سازنده افزونه را بر آن داشت تا تغییراتی را در نسخه‌های 2.6.4، 2.6.5، 2.6.6 و 2.6.7 اعمال کند. انتظار می‌رود در روزهای آینده نیز آپدیت جدیدی منتشر شود.

Ultimate Member در یادداشت‌های انتشار خود نوشت:«یک آسیب پذیری که از طریق فرم‌های پلاگین ما استفاده می‌شود، به مهاجمین اجازه می‌دهد تا کاربران با سطح ادمین ایجاد کنند.»

با این حال، WPScan اشاره کرد که پچ‌های امنیتی ارائه شده ناقص هستند و روش‌های متعددی برای دور زدن آن‌ها پیدا کرده است، به این معنی که این مشکل هنوز به طور فعال پابرجاست.

در حملات مشاهده شده، از این نقص برای ثبت اکانت‌های جدید تحت نام‌های apadmins، se_brutal، segs_brutal، wpadmins، wpengine_backup، و wpenginer برای آپلود افزونه‌ها و تم‌های مخرب از طریق پنل مدیریت سایت استفاده می‌شود.

به کاربران Ultimate Member توصیه می شود تا زمان انتشار یک پچ مناسب که نقص امنیتی را به طور کامل برطرف کند، افزونه را غیرفعال کنند. همچنین توصیه می‌شود همه کاربران با دسترسی administrator را بررسی کنید تا مشخص شود آیا حساب‌های غیرمجاز اضافه شده‌اند یا خیر.