0-day уязвимость в WordPress-плагине Ultimate Member уже атакуют хакеры
Хакеры используют уязвимость нулевого дня в плагине Ultimate Member для повышения привилегий. С помощью этого бага злоумышленники взламывают сайты, обходя защиту, и создают новые учетные записи администраторов.
Плагин Ultimate Member предназначен для облегчения регистрации и создания сообществ на WordPress-сайтах, и в настоящее время у него насчитывается более 200 000 активных установок.
Уязвимость, которую уже взяли на вооружение хакеры, получила идентификатор CVE-2023-3460 и оценку 9,8 балла по шкале CVSS, то есть считается критической. Проблема влияет на все версии Ultimate Member, включая последнюю версию 2.6.6.
Хотя изначально разработчики пытались исправить уязвимость в версиях 2.6.3, 2.6.4, 2.6.5 и 2.6.6, пока закрыть ее пока полностью не удалось. Авторы плагина заявляют, что продолжают работать над решением оставшихся проблем и надеются выпустить новый патч в ближайшее время.