WPScan 报告称,黑客活动正在积极利用 Ultimate Member 插件中未修补的漏洞,该漏洞允许未经身份验证的攻击者创建具有管理权限的新用户帐户并接管该网站。该漏洞的 CVSSv3.1(通用漏洞评分系统)评分为 9.8(严重)。
Automattic 的WP.cloud和Pressable.com托管平台发现了受感染网站的趋势,每个网站都出现了流氓新管理员。经过进一步调查,他们在 WordPress.org 支持论坛上发现了有关该插件中潜在的权限升级漏洞的讨论,并且有迹象表明该漏洞已被积极利用。
Ultimate Member活跃在超过 200,000 个 WordPress 网站上,修补了该插件,但 WPScan 报告称这还不够。
WPScan 安全研究员 Marc Montpas 表示:“针对漏洞报告,该插件的创建者立即发布了新版本 2.6.4,旨在解决该问题。” “但是,在调查此更新后,我们发现了许多规避拟议补丁的方法,这意味着该问题仍然是完全可利用的。
“除了情况的紧迫性之外,对我们的监控系统的检查也证实了利用此漏洞的攻击确实在野外发生。”
WPScan 已识别出十几个发起漏洞利用的 IP 地址、恶意帐户的常见用户名以及其他妥协指标,例如恶意插件、主题和代码。如果您认为自己已受到威胁,请查看安全公告。
版本 2.6.6 是 Ultimate Member 插件的最新版本,但仍被认为存在漏洞。WPScan 建议用户禁用该插件,直到其得到充分修补。
