Hackers στοχεύουν σε ευπάθεια του WordPress

Του Χρίστου Κρανάκη

Μέχρι και 200.000 ιστότοποι που χρησιμοποιούν WordPress βρίσκονται σε κίνδυνο εξαιτίας των πολλαπλών κυβερνοεπιθέσεων που εκμεταλλεύονται ευπάθεια ασφαλείας στο πρόσθετο Ultimate Member.

Η ευπάθεια CVE-2023-3460 (CVSS score: 9.8) επηρεάζει όλες τις εκδόσεις του plugin Ultimate Member, συμπεριλαμβανομένης της τελευταίας έκδοσης (2.6.6) που κυκλοφόρησε πρόσφατα και συγκεκριμένα, στις 29 Ιουνίου 2023.

Το Ultimate Member συνιστά ένα δημοφιλές add-on που διευκολύνει τη δημιουργία προφίλ χρηστών και κοινοτήτων σε ιστότοπους WordPress. Παρέχει, επίσης, δυνατότητες διαχείρισης λογαριασμών.

«Πρόκειται για ένα πολύ σοβαρό ζήτημα: Οι μη επιτιθέμενοι μπορούν να εκμεταλλευτούν αυτήν την ευπάθεια για να δημιουργήσουν νέους λογαριασμούς χρηστών με δικαιώματα διαχειριστή, δίνοντάς τους τη δυνατότητα να αναλάβουν τον πλήρη έλεγχο των ιστοτόπων», αναφέρει η εταιρεία ασφάλειας WordPress WPScan σε ειδοποίησή της προς το κοινό.

Το όλο θέμα ήρθε στο «φως» μετά από αναφορές σχετικά με την προσθήκη μη πιστοποιημένων λογαριασμών διαχειριστή, γεγονός που οδήγησε τους ειδικούς ασφαλείας να προβούν σε διορθωτικές κινήσεις στις εκδόσεις 2.6.4, 2.6.5 και 2.6.6.

Ακόμα, προκειμένου να προστατευτούν οι χρήστες, εκδόθηκε η αναβαθμισμένη έκδοση 2.6.7 του add-on την 1η Ιουλίου. Ακόμα, ανακοινώθηκε ως πρόσθετο μέτρο ασφαλείας πως θα ενσωματωθεί μια νέα λειτουργία που θα επιτρέπει στους διαχειριστές του ιστότοπου να επαναφέρουν τους κωδικούς πρόσβασης για όλους τους χρήστες.

«Η έκδοση 2.6.7 εισάγει whitelisting για τα μετα-κλειδιά που αποθηκεύουμε κατά την αποστολή φορμών. Η 2.6.7 διαχωρίζει επίσης τα δεδομένα ρυθμίσεων της φόρμας και τα δεδομένα που έχουν υποβληθεί και τα λειτουργεί σε 2 διαφορετικές μεταβλητές», ανέφερε σχετικά η ομάδα ασφαλείας του WordPress.

Τεύχος 320