WordPress網(wǎng)站的終極會(huì)員插件中有多達(dá)20萬(wàn)個(gè)未修補(bǔ)的關(guān)鍵安全漏洞，如今面臨著很高的攻擊風(fēng)險(xiǎn)。

該漏洞被追蹤為CVE-2023-3460 (CVSS得分：9.8)，影響所有版本的Ultimate Member插件，包括2023年6月29日發(fā)布的最新版本(2.6.6)。

1688351776_64a23420f178527ba21a6.png!small?1688351776696

Ultimate Member是一個(gè)比較受歡迎的插件，它有助于在WordPress網(wǎng)站上創(chuàng)建用戶(hù)配置文件和社區(qū)，并可提供帳戶(hù)管理功能。

WordPress安全公司W(wǎng)PScan在警報(bào)中提到，這是一個(gè)非常嚴(yán)重的問(wèn)題，因?yàn)槲唇?jīng)身份驗(yàn)證的攻擊者可能會(huì)利用這個(gè)漏洞創(chuàng)建具有管理權(quán)限的新用戶(hù)帳戶(hù)，從而實(shí)現(xiàn)奪取網(wǎng)站的完全控制權(quán)。

但該漏洞源于不適當(dāng)?shù)淖柚沽斜磉壿?，所以無(wú)法將新用戶(hù)的wp_capabilities用戶(hù)元值更改為管理員的用戶(hù)元值，從而獲得對(duì)站點(diǎn)的完全訪問(wèn)權(quán)。

Wordfence研究員Chloe Chamberland稱(chēng)，雖然該插件有一個(gè)預(yù)先定義的禁用鍵列表。但還有一些更簡(jiǎn)單的方法可以繞過(guò)過(guò)濾器，例如在插件的易受攻擊版本中利用各種大小寫(xiě)，斜杠和提供的元鍵值中的字符編碼。

有報(bào)道稱(chēng)，受影響的網(wǎng)站上出現(xiàn)了一些非法管理員賬戶(hù)，因此該插件在2.6.4、2.6.5和2.6.6版本發(fā)布了部分修復(fù)程序，還有一個(gè)新的版本更新預(yù)計(jì)將在未來(lái)幾天發(fā)布。

WPScan指出，這些補(bǔ)丁是不完整的，已經(jīng)發(fā)現(xiàn)了許多繞過(guò)它們的方法，這意味著該漏洞仍然可以被積極利用，比如，該漏洞被用于以apadmins、se_野蠻、segs_野蠻、wpadmins、wpengine_backup和wpenginer等名稱(chēng)注冊(cè)新帳戶(hù)，通過(guò)網(wǎng)站的管理面板上傳惡意插件和主題。

此外WPScan還建議廣大用戶(hù)，直到該安全漏洞被完全修復(fù)前，都建議Ultimate Member的用戶(hù)禁用該插件，最好審計(jì)網(wǎng)站上的所有管理員級(jí)用戶(hù)，以確定是否添加了未經(jīng)授權(quán)的帳戶(hù)。

7月1日，Ultimate Member的作者發(fā)布了該插件的2.6.7版本，以解決被積極利用的特權(quán)升級(jí)漏洞。作為一項(xiàng)額外的安全措施，他們還計(jì)劃在插件中發(fā)布一個(gè)新功能，使網(wǎng)站管理員能夠重置所有用戶(hù)的密碼。

此外， 網(wǎng)站維護(hù)人員還表示：2.6.7引入了我們?cè)诎l(fā)送表單時(shí)存儲(chǔ)的元鍵白名單，并且分離了表單設(shè)置數(shù)據(jù)和提交數(shù)據(jù)，可在兩個(gè)不同的變量中操作它們。