نقص امنیتی افزونه وردپرس برای هکرها امکان ایجاد حسابهای ادمین را فراهم میکند
حدود 200 هزار وبسایت وب سایت وردپرسی در معرض خطر حملات ناشی از یک آسیب پذیری امنیتی خطرناک در افزونه Ultimate Member هستند.
این نقص که بهعنوان CVE-2023-3460 نامگذاری شده است؛ بر تمام نسخههای افزونه Ultimate Member، از جمله آخرین نسخه (2.6.6) که در 29 ژوئن 2023 منتشر شد، تأثیر میگذارد.
Ultimate Member یک افزونه محبوب است که ایجاد پروفایلهای کاربر و انجمن را در سایتهای وردپرسی تسهیل و قابلیتهای پیشرفته مدیریت حساب را فراهم میکند.
شرکت امنیتی WPScan در هشداری گفت: «این یک مسئله بسیار جدی است: مهاجمان غیرقانونی ممکن است از این آسیب پذیری برای ایجاد حساب های کاربری جدید با سطح دسترسی ادمین سوء استفاده کنند و قدرت کنترل کامل سایتهای آسیب دیده را به دست بیاورند.»
این مشکل پس از انتشار گزارشهایی مبنی بر اضافه شدن حسابهای مدیر غیرمنتظره به سایتهای آسیبدیده آشکار شد و سازنده افزونه را بر آن داشت تا تغییراتی را در نسخههای 2.6.4، 2.6.5، 2.6.6 و 2.6.7 اعمال کند. انتظار میرود در روزهای آینده نیز آپدیت جدیدی منتشر شود.
Ultimate Member در یادداشتهای انتشار خود نوشت:«یک آسیب پذیری که از طریق فرمهای پلاگین ما استفاده میشود، به مهاجمین اجازه میدهد تا کاربران با سطح ادمین ایجاد کنند.»
با این حال، WPScan اشاره کرد که پچهای امنیتی ارائه شده ناقص هستند و روشهای متعددی برای دور زدن آنها پیدا کرده است، به این معنی که این مشکل هنوز به طور فعال پابرجاست.
در حملات مشاهده شده، از این نقص برای ثبت اکانتهای جدید تحت نامهای apadmins، se_brutal، segs_brutal، wpadmins، wpengine_backup، و wpenginer برای آپلود افزونهها و تمهای مخرب از طریق پنل مدیریت سایت استفاده میشود.
به کاربران Ultimate Member توصیه می شود تا زمان انتشار یک پچ مناسب که نقص امنیتی را به طور کامل برطرف کند، افزونه را غیرفعال کنند. همچنین توصیه میشود همه کاربران با دسترسی administrator را بررسی کنید تا مشخص شود آیا حسابهای غیرمجاز اضافه شدهاند یا خیر.
منبع: آی تی جو
نظر دهید