IT之家 7 月 4 日消息,Ultimate Member 是 WordPess 博客平臺(tái)中一款相當(dāng)受歡迎的“用戶登錄系統(tǒng)”插件。安全公司 Wordfence 目前曝出該插件存在零日漏洞,黑客可將自己的賬號(hào)提權(quán)為管理員,進(jìn)而控制接管網(wǎng)站。
據(jù)悉,該插件存在編號(hào)為 CVE-2023-3460 的重大漏洞,風(fēng)險(xiǎn)評(píng)分為 9.8,黑客可利用該漏洞,繞過(guò)此插件內(nèi)置的各項(xiàng)安全措施,修改賬號(hào)的 wp_capabilities 配置數(shù)據(jù),以將黑客的賬號(hào)設(shè)置為管理員角色,進(jìn)而控制受害網(wǎng)站。
插件開(kāi)發(fā)者在 6 月 26 日發(fā)布 Ultimate Member 2.6.3 版本進(jìn)行了該漏洞進(jìn)行了部分修復(fù),此后在 7 月 1 日發(fā)布了 2.6.7 版本,完全修復(fù)了該漏洞。
IT之家經(jīng)過(guò)查詢(xún)得知,部署該插件的 WordPress 網(wǎng)站超過(guò) 20 萬(wàn)個(gè),考慮到這一預(yù)裝量及信息差導(dǎo)致的插件更新延遲,這些網(wǎng)站依然極容易遭到黑客攻擊。
廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。