Відома компанія Wordfence, що спеціалізується на безпеці, нещодавно виявила критичну вразливість “нульового дня” у широко використовуваному плагіні “системи входу в систему” Ultimate Member на блог-платформі WordPress, що дозволяє хакерам контролювати акаунти зловмисників. Ця вразливість дозволяє хакерам експлуатувати облікові записи користувачів і отримувати підвищені адміністративні права, що фактично надає їм повний контроль над цільовими веб-сайтами.
200 000 веб-сайтів використовували плагін до цього часу
Вразливості, яка отримала ідентифікатор CVE-2023-3460, присвоєно рівень ризику 9.8, що свідчить про її серйозність. Через цю вразливість кіберзлочинці можуть обійти вбудовані заходи безпеки плагіна, що дозволяє їм маніпулювати даними конфігурації wp_capabilities в облікових записах користувачів. Налаштувавши власні облікові записи як адміністратори, хакери можуть отримати повний контроль над скомпрометованими веб-сайтами.
Розробник плагіна швидко відреагував на цю проблему. 26 червня він випустив версію Ultimate Member 2.6.3, яка частково усунула вразливість. Згодом, 1 липня, вийшла версія 2.6.7, яка пропонує повне виправлення вразливості.
Тривожним є те, що стало відомо, що понад 200 000 веб-сайтів на WordPress використовують плагін Ultimate Member. Враховуючи велику кількість встановлених плагінів та потенційну затримку в оновленні плагіну через недостатнє поширення інформації, ці сайти залишаються надзвичайно вразливими для використання зловмисниками.
Веб-адміністраторам і власникам веб-сайтів настійно рекомендується вжити негайних заходів, оновивши плагін Ultimate Member до останньої версії 2.6.7, щоб захистити свої веб-сайти від потенційних атак. Крім того, вкрай важливо зберігати пильність і відстежувати будь-яку підозрілу активність або спроби несанкціонованого доступу.
Експерти наголошують на важливості своєчасного усунення вразливостей програмного забезпечення та встановлення найновіших патчів безпеки. Регулярне оновлення плагінів і програмного забезпечення є важливою практикою, яка забезпечує цілісність веб-сайтів і захищає від нових кіберзагроз.