Luka w zabezpieczeniach wtyczki Ultimate Member WordPress, z ponad 200 000 aktywnych instalacji aktywnie wykorzystywanych w niezałatanych witrynach WordPress. Mówi się, że luka wymaga minimalnego wysiłku, aby ominąć filtry bezpieczeństwa.
Podwój najlepszą wtyczkę dla członków
Wtyczka Ultimate Member WordPress umożliwia wydawcom tworzenie społeczności online na swoich stronach internetowych.
Wtyczka działa, tworząc łatwy proces rejestracji użytkowników i tworzenia profili użytkowników. Jest to popularna wtyczka, szczególnie dla witryn członkowskich.
Darmowa wersja wtyczki ma bogaty zestaw funkcji, w tym:
Profile użytkownika front-end, rejestracja, logowanie i wydawcy mogą również tworzyć katalogi dla członków.
Wtyczka zawierała również krytyczny błąd, który umożliwiał odwiedzającym witrynę tworzenie profili członków z uprawnieniami administratora.
Baza danych zabezpieczeń WPScan Opisuje wagę luki w zabezpieczeniach:
Wtyczka nie uniemożliwia odwiedzającym tworzenia kont użytkowników z dowolnymi możliwościami, skutecznie umożliwiając atakującym tworzenie dowolnych kont administratorów.
Jest to aktywnie wykorzystywane w środowisku naturalnym”.
Aktualizacja zabezpieczeń nie powiodła się
Luka została odkryta pod koniec czerwca 2023 r., a wydawcy Ultimate Member szybko zareagowali, udostępniając łatkę usuwającą lukę.
Ta poprawka usuwająca lukę została wydana w wersji 2.6.5, która została opublikowana 28 czerwca.
oficjalny Dziennik zmian dla wtyczki człowiek ogłaszający:
Naprawiono: luka w zabezpieczeniach związana z eskalacją uprawnień używana przez formularze UM.
Wiadomo, że luka umożliwiała osobom postronnym tworzenie użytkowników WordPressa na poziomie administratora.
Zaktualizuj natychmiast i sprawdź wszystkich użytkowników na poziomie administratora w Twojej witrynie. „
Jednak ta poprawka nie wyeliminowała w pełni luki, a hakerzy nadal ją wykorzystywali na stronach internetowych.
Badacze bezpieczeństwa w Wordfence przeanalizowali wtyczkę i ustalili 29 czerwca, że łatka w rzeczywistości nie działa. opisując swoje ustalenia W poście na blogu:
„Po dalszym dochodzeniu odkryliśmy, że ta luka jest aktywnie wykorzystywana i nie została odpowiednio załatana w najnowszej dostępnej wersji, czyli 2.6.6 w chwili pisania tego tekstu”.
Problem był tak poważny, że Wordfence opisał wysiłek potrzebny do zhakowania wtyczki jako trywialny.
Chociaż wtyczka ma predefiniowaną listę zablokowanych kluczy, których użytkownik nie powinien mieć możliwości aktualizacji, istnieją trywialne sposoby na ominięcie zestawu filtrów, takie jak użycie różnych przypadków, ukośników i kodowania znaków w wartości meta-klucza dostarczonej w słabym wersje wtyczki.
Dzięki temu osoba atakująca może ustawić metawartość użytkownika wp_capabilities, która kontroluje rolę użytkownika w witrynie, na „admin”.
Daje to atakującemu pełny dostęp do zaatakowanej witryny, gdy zostanie ona pomyślnie wykorzystana. „
Poziom użytkownika administratora to najwyższy poziom dostępu do witryny WordPress.
Tym, co sprawia, że ten exploit jest szczególnie niepokojący, jest to, że ta klasa nazywa się „nieuwierzytelnioną eskalacją uprawnień”, co oznacza, że haker nie potrzebuje żadnego poziomu dostępu do witryny, aby zhakować wtyczkę.
Ostatni członek przeprasza
Zespół Ultimate Member opublikował publiczne przeprosiny dla swoich użytkowników, podając pełne informacje o tym, co się stało i jak zareagowali.
Należy zauważyć, że większość firm wydaje łatkę i milczy. Dlatego godne pochwały i odpowiedzialne jest to, że Ultimate Member szczerze traktuje swoich klientów o incydentach związanych z bezpieczeństwem.
Najlepsze książki użytkownika:
Po pierwsze, chcemy przeprosić za te luki w kodzie naszych wtyczek i wszystkich witrynach, na które miały one wpływ, oraz za obawy, jakie mogło wywołać poznanie luk w zabezpieczeniach.
Gdy tylko dowiedzieliśmy się, że we wtyczce wykryto luki, natychmiast przystąpiliśmy do aktualizacji kodu w celu załatania luk.
Od czasu ujawnienia opublikowaliśmy kilka aktualizacji, gdy pracowaliśmy nad lukami w zabezpieczeniach i chcemy bardzo podziękować zespołowi WPScan za udzielenie pomocy i wskazówek w tym zakresie po tym, jak skontaktowali się w celu ujawnienia luk w zabezpieczeniach”.
Zachęć użytkowników wtyczki do natychmiastowej aktualizacji
Badacze bezpieczeństwa z WPScan wzywają wszystkich użytkowników wtyczek do natychmiastowej aktualizacji swoich witryn do wersji 2.6.7.
Specjalne ogłoszenie z notatek WPScan:
Nowa wersja, 2.6.7, została wydana w ten weekend i rozwiązuje problem.
Jeśli korzystasz z Ultimate Member, jak najszybciej zaktualizuj do tej wersji.
To bardzo poważny problem: nieautoryzowani atakujący mogą wykorzystać tę lukę do tworzenia nowych kont użytkowników z uprawnieniami administracyjnymi, dając im możliwość pełnej kontroli nad zagrożonymi witrynami”.
Ta luka jest oceniana na 9,8 w skali od 1 do 10, przy czym poziom 10 jest najpoważniejszym poziomem.
Zdecydowanie zaleca się, aby użytkownicy wtyczek natychmiast zaktualizowali oprogramowanie.
Wyróżniony obraz autorstwa Shutterstock / Pedrorsfernandes
„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.
