WPScan signale une campagne de piratage exploitant activement une vulnérabilité non corrigée dans le plug-in Ultimate Member, qui permet à des attaquants non authentifiés de créer de nouveaux comptes d’utilisateurs avec des privilèges d’administration et de prendre le contrôle du site. La vulnérabilité a reçu un score CVSSv3.1 (Common Vulnerability Scoring System) de 9,8 (critique).

Automatiques WP.cloud et Pressable.com les plates-formes d’hébergement ont repris une tendance dans les sites compromis où chacun avait de nouveaux administrateurs malhonnêtes surgissant. Après une enquête plus approfondie, ils ont trouvé une discussion sur les forums de support de WordPress.org à propos d’un potentiel Vulnérabilité d’escalade de privilèges dans le plugin, ainsi que des indications qu’il était déjà en cours activement exploité.

Membre ultimequi est actif sur plus de 200 000 sites WordPress, a corrigé le plugin, mais WPScan signale que ce n’était pas suffisant.

« En réponse au rapport de vulnérabilité, les créateurs du plugin ont rapidement publié une nouvelle version, 2.6.4, dans le but de résoudre le problème », a déclaré Marc Montpas, chercheur en sécurité chez WPScan. « Cependant, après avoir enquêté sur cette mise à jour, nous avons trouvé de nombreuses méthodes pour contourner le correctif proposé, ce qui implique que le problème est toujours pleinement exploitable.

« Ajoutant à l’urgence de la situation, un regard sur nos systèmes de surveillance a également confirmé que des attaques utilisant cette vulnérabilité se produisaient effectivement dans la nature. »

WPScan a identifié plus d’une douzaine d’adresses IP à l’origine des exploits, des noms d’utilisateur courants pour les comptes malveillants et d’autres indicateurs de compromis, tels que des plugins, des thèmes et du code malveillants. Vérifier la conseil en sécurité si vous pensez avoir été compromis.

La version 2.6.6 est la dernière version du plug-in Ultimate Member, mais on pense toujours qu’elle est vulnérable. WPScan recommande aux utilisateurs de désactiver le plugin jusqu’à ce qu’il ait été correctement corrigé.


Source link