Уразливість нульового дня в популярному плагіні WordPress

0
1 547 views
Уразливість нульового дня в популярному плагіні WordPress

Відома компанія Wordfence, що спеціалізується на безпеці, нещодавно виявила критичну вразливість “нульового дня” у широко використовуваному плагіні “системи входу в систему” Ultimate Member на блог-платформі WordPress. Ця вразливість дозволяє хакерам використовувати акаунти користувачів та отримувати підвищені адміністративні права, фактично надаючи їм повний контроль над цільовими веб-сайтами.

200 000 веб-сайтів використовували плагін до цього часу

Вразливості, яка отримала ідентифікатор CVE-2023-3460, присвоєно оцінку ризику 9,8, що свідчить про її серйозність. Через цю вразливість кіберзлочинці можуть обійти вбудовані заходи безпеки плагіна, що дозволяє їм маніпулювати даними конфігурації wp_capabilities в облікових записах користувачів. Налаштувавши власні облікові записи як адміністратори, хакери можуть отримати повний контроль над скомпрометованими веб-сайтами.

Розробник плагіна швидко відреагував на цю проблему. 26 червня він випустив версію Ultimate Member 2.6.3, яка частково усунула вразливість. Згодом, 1 липня, вийшла версія 2.6.7, яка пропонує повне виправлення вразливості.

Тривожним є те, що стало відомо, що понад 200 000 веб-сайтів на WordPress використовують плагін Ultimate Member. Враховуючи велику кількість встановлених плагінів і потенційну затримку в оновленні плагіна через недостатнє поширення інформації, ці сайти залишаються надзвичайно вразливими для використання зловмисниками.

Веб-адміністраторам і власникам веб-сайтів настійно рекомендується вжити негайних заходів, оновивши плагін Ultimate Member до останньої версії 2.6.7, щоб захистити свої веб-сайти від потенційних атак. Крім того, вкрай важливо зберігати пильність і відстежувати будь-яку підозрілу активність або спроби несанкціонованого доступу.

Експерти наголошують на важливості оперативного усунення вразливостей програмного забезпечення та встановлення найновіших патчів безпеки. Регулярне оновлення плагінів і програмного забезпечення є важливою практикою, яка забезпечує цілісність веб-сайтів і захищає від нових кіберзагроз.