Af Eskil Sørensen, 04/07/23
Trusselaktører er i gang med at udnytte en kritisk WordPress 0-dagssårbarhed i et plugin. Denne gang er en sårbarhed i det såkaldte Ultimate Member-plugin, som kan anvendes til at oprette administratorkonti. De kan så bruges til at tage fuld kontrol over webstederne.
Fejlen har id’et CVE-2023-3460 og en CVSS-score på 9,8.
Security Affairs skriver om Ultimate Member, at det er brugerprofil- og medlemskabsplugin til WordPress, der giver administratorer mulighed for at oprette avancerede online fællesskaber, medlemssider og websteder, som brugere kan tilslutte sig og blive medlemmer af.
Plugin'et har mere end 200.000 aktive installationer på nuværende tidspunkt.
En patch foreligger ikke endnu, hvorfor brugere af Ultimate Member-plugin'et anbefales at deaktivere det, indtil en endelig patch vil blive frigivet.
Links:
https://securityaffairs.com/148030/hacking/wordpress-ultimate-member-plugin-attacks.html