Forscher von Wordfence stellen einen Zero-Day-Bug im Ultimate Member-Plug-in fest, der 200.000 installierte WordPress-Websites betrifft.
Obwohl die betroffenen Entwickler ein Patch-Update zur Verfügung gestellt haben, reicht dies nicht aus, um die Websites, die dieses Plug-in verwenden, zu schützen, da es immer noch Mängel aufweist. Bis ein zuverlässiges Plug-in verfügbar ist, raten die Forscher den Site-Administratoren, das Ultimate Member-Plugin zu entfernen und ihre Sites auf mögliche Kompromittierungen zu scannen.
Kein Patch für einen Sicherheitsfehler
Ultimate Member, ein WordPress-Plugin mit einfacher Benutzeroberfläche zum Erstellen erweiterter Online-Communitys und Mitgliedergruppen, weist einen Zero-Day-Bug auf – verfolgt als CVE-2023-3460, Schweregrad 9,9/10; Laut den Sicherheitsforschern von Wordfence könnte der Fehler dazu führen, dass jeder schnell Administratorrechte für eine bestimmte Website erhält..
Der Angreifer muss lediglich die Registrierungsformulare des Plugins mit beliebigen Benutzermetawerten füllen, die ihm schließlich Sonderzugriff auf die Host-Site gewähren. Wenn er beispielsweise den Benutzermetawert „“ im Registrierungsformular von Ultimate Member einstellt, wird seine Benutzerrolle als Administrator definiert, sodass er wichtige Aktionen auf der zugrunde liegenden Site ausführen kann.
Obwohl die Entwickler des Plugins versucht haben, diesen Fehler mit einem Update zu beheben, weisen die Forscher darauf hin, dass immer noch ein Workaround verfügbar ist. Die Entwickler forderten die Site-Administratoren auf, die Version v2.6.6 des Plugins zu belassen, und sagten, sie arbeiten daran, bald ein weiteres Update mit einem geeigneten Patch zu veröffentlichen.
Dies ist jedoch immer noch gefährlich und setzt die Site Hackern aus, bis ein zuverlässiger Patch verfügbar ist. Wordfence empfiehlt, das Plug-in zu entfernen, bis ein zuverlässiger Patch verfügbar ist. Außerdem sollten Site-Administratoren ihre Websites bereits jetzt auf mögliche Schwachstellen prüfen.. Hier ist die Liste, um sie zu bestimmen;
- Verwendung der Benutzernamen wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal.
- Erscheinen neuer Administratorkonten auf der Website.
- Protokolldatensätze, die den Zugriff von 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 und 172.70.147.176 zeigen, oder alle Protokolldatensätze, die zeigen, dass IPs bekanntermaßen in böswilliger Absicht auf die Registrierungsseite von Ultimate Member zugreifen.
- Darstellung eines Benutzerkontos mit einer mit „“ verknüpften E-Mail-Adresse.
- Installation neuer WordPress-Plugins und -Themes auf der Site.
Wenn Sie glauben, dass einer der oben genannten Punkte mit Ihrer Website verknüpft ist, gehen Sie davon aus, dass sie kompromittiert ist, und beginnen Sie mit der Ergreifung von Abhilfemaßnahmen. Dazu gehört das Entfernen aller betrügerischen Administratorkonten und Hintertüren, die sie möglicherweise auf Ihrer WordPress-Site erstellt haben.
