(資料圖)
IT之家 7 月 4 日消息,Ultimate Member 是 WordPess 博客平臺中一款相當(dāng)受歡迎的“用戶登錄系統(tǒng)”插件�����。安全公司 Wordfence 目前曝出該插件存在零日漏洞����,黑客可將自己的賬號提權(quán)為管理員,進(jìn)而控制接管網(wǎng)站����。
▲ 圖源 Wordfence
據(jù)悉,該插件存在編號為 CVE-2023-3460 的重大漏洞�����,風(fēng)險(xiǎn)評分為 9.8,黑客可利用該漏洞����,繞過此插件內(nèi)置的各項(xiàng)安全措施,修改賬號的 wp_capabilities 配置數(shù)據(jù)���,以將黑客的賬號設(shè)置為管理員角色�����,進(jìn)而控制受害網(wǎng)站��。
▲ 圖源 Wordfence
插件開發(fā)者在 6 月 26 日發(fā)布 Ultimate Member 2.6.3 版本進(jìn)行了該漏洞進(jìn)行了部分修復(fù)�,此后在 7 月 1 日發(fā)布了 2.6.7 版本��,完全修復(fù)了該漏洞�。
IT之家經(jīng)過查詢得知����,部署該插件的 WordPress 網(wǎng)站超過 20 萬個(gè),考慮到這一預(yù)裝量及信息差導(dǎo)致的插件更新延遲����,這些網(wǎng)站依然極容易遭到黑客攻擊����。
