Pas moins de 200 000 sites Web WordPress sont exposés au risque d’attaques en cours exploitant une vulnérabilité de sécurité critique non corrigée dans le plug-in Ultimate Member.
La faille, identifiée comme CVE-2023-3460 (score CVSS : 9,8), affecte toutes les versions du plugin Ultimate Member, y compris la dernière version (2.6.6) qui a été publiée le 29 juin 2023.
Ultimate Member est un plugin populaire qui facilite la création de profils d’utilisateurs et de communautés sur les sites WordPress. Il fournit également des fonctionnalités de gestion de compte.
« Il s’agit d’un problème très sérieux : des attaquants non authentifiés peuvent exploiter cette vulnérabilité pour créer de nouveaux comptes d’utilisateurs avec des privilèges administratifs, leur donnant le pouvoir de prendre le contrôle total des sites concernés », a déclaré la société de sécurité WordPress WPScan dans une alerte.
Bien que les détails sur la faille aient été retenus en raison d’abus actifs, cela découle d’une logique de liste de blocage inadéquate mise en place pour modifier la méta-valeur utilisateur wp_capabilities d’un nouvel utilisateur en celle d’un administrateur et obtenir un accès complet au site.
« Bien que le plug-in ait une liste prédéfinie de clés interdites, qu’un utilisateur ne devrait pas pouvoir mettre à jour, il existe des moyens triviaux de contourner les filtres mis en place, tels que l’utilisation de divers cas, barres obliques et codage de caractères dans une valeur de clé méta fournie. dans les versions vulnérables du plugin », a déclaré la chercheuse de Wordfence, Chloe Chamberland.
Le problème est apparu après que des rapports ont fait état de l’ajout de comptes d’administrateurs malveillants aux sites concernés, incitant les responsables du plug-in à publier des correctifs partiels dans les versions 2.6.4, 2.6.5 et 2.6.6. Une nouvelle mise à jour devrait être publiée dans les prochains jours.
« Une vulnérabilité d’escalade de privilèges utilisée via les formulaires UM », a déclaré Ultimate Member dans ses notes de publication. « Connue dans la nature, cette vulnérabilité a permis à des étrangers de créer des utilisateurs WordPress de niveau administrateur. »
WPScan, cependant, a souligné que les correctifs sont incomplets et qu’il a trouvé de nombreuses méthodes pour les contourner, ce qui signifie que le problème est toujours activement exploitable.
Dans les attaques observées, la faille est utilisée pour enregistrer de nouveaux comptes sous les noms apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup et wpenginer pour télécharger des plugins et des thèmes malveillants via le panneau d’administration du site.
Il est conseillé aux utilisateurs d’Ultimate Member de désactiver le plug-in jusqu’à ce qu’un correctif approprié qui comble complètement la faille de sécurité soit disponible. Il est également recommandé d’auditer tous les utilisateurs de niveau administrateur sur les sites Web pour déterminer si des comptes non autorisés ont été ajoutés.
