Ultimate Member, un popolare plugin WordPress che facilita la creazione di profili utente e comunità sui siti WordPress, presenta una grave vulnerabilità di sicurezza, identificata come CVE-2023-3460, che colpisce tutte le versioni del plugin, inclusa l’ultima versione 2.6.6. Gli attaccanti possono sfruttare questa vulnerabilità per creare nuovi account utente con privilegi di amministratore, ottenendo il controllo completo dei siti interessati.
Dettagli della vulnerabilità
La vulnerabilità deriva da una logica di blacklist inadeguata utilizzata per modificare il valore meta “wp_capabilities” di un nuovo utente in quello di un amministratore, ottenendo così l’accesso completo al sito. Nonostante il plugin abbia una lista predefinita di chiavi vietate che un utente non dovrebbe essere in grado di aggiornare, ci sono modi banali per eludere i filtri, come utilizzare diverse maiuscole, barre e codifica dei caratteri in un valore meta chiave fornito nelle versioni vulnerabili del plugin.
Attacchi osservati e misure di mitigazione
La vulnerabilità è stata scoperta dopo che sono emersi rapporti di account amministratore non autorizzati che venivano aggiunti ai siti interessati. Gli attaccanti stanno utilizzando il difetto per registrare nuovi account con nomi come “apadmins”, “se_brutal”, “segs_brutal”, “wpadmins”, “wpengine_backup” e “wpenginer” per caricare plugin e temi dannosi tramite il pannello di amministrazione del sito. Gli utenti di Ultimate Member sono invitati a disabilitare il plugin fino a quando non sarà disponibile una patch adeguata che risolva completamente il problema di sicurezza. È inoltre consigliato verificare tutti gli utenti a livello di amministratore sui siti web per determinare se siano stati aggiunti account non autorizzati.
Risposta degli sviluppatori e patch incomplete
Gli sviluppatori di Ultimate Member hanno rilasciato correzioni parziali nelle versioni 2.6.4, 2.6.5 e 2.6.6 del plugin. Tuttavia, WPScan, una società di sicurezza WordPress, ha sottolineato che queste patch sono incomplete e che ha trovato numerosi metodi per eluderle, il che significa che il problema è ancora attivamente sfruttabile. Si prevede che un nuovo aggiornamento verrà rilasciato nei prossimi giorni.
La vulnerabilità critica nel plugin Ultimate Member di WordPress sottolinea l’importanza della sicurezza dei plugin e della vigilanza da parte degliamministratori dei siti web. È essenziale monitorare attentamente gli account amministratore e disabilitare temporaneamente il plugin Ultimate Member fino a quando non verrà rilasciata una patch che risolva completamente la vulnerabilità. Gli amministratori dei siti web devono rimanere vigili e adottare misure proattive per proteggere le loro piattaforme.