Ultimate Member是一個WordPress用戶中心插件,具有100,000多個活動安裝,旨在簡化個人資料和成員資格管理的任務。允許輕松注冊以及使用針對各種用戶角色的自定義特權構(gòu)建在線社區(qū)。
更多介紹請看:WordPress 使用 Ultimate Member 實現(xiàn)前臺用戶中心功能
強烈建議使用Ultimate Member插件的WordPress網(wǎng)站管理員將其更新至最新版本,以阻止試圖利用可能導致網(wǎng)站接管的多個關鍵漏洞和容易利用的漏洞的攻擊。
權限提升錯誤
在Wordfence威脅情報團隊今天早些時候發(fā)布的一份報告中,威脅分析師Chloe Chamberland表示,Wordfence披露的三個安全漏洞可能允許攻擊者將其特權提升為管理員,并使用易受攻擊的Ultimate Member安裝完全接管任何WordPress網(wǎng)站。
在10月26日向插件的開發(fā)團隊披露了這些漏洞之后,Ultimate Member 2.1.12在10月29日發(fā)布,修復了這三個特權提升錯誤。
Wordfence認為其中之一是“非常關鍵的”,因為它“使原本未經(jīng)身份驗證的用戶可以輕松地將其特權提升為管理員的特權。”
Chamberland解釋說:“一旦攻擊者擁有對WordPress網(wǎng)站的管理訪問權限,他們就可以有效地接管整個網(wǎng)站,并且可以執(zhí)行任何操作,從使網(wǎng)站離線到進一步感染惡意軟件,都可以。
其中兩個錯誤的最高CVSS嚴重等級為10/10,因為它們是通過用戶元數(shù)據(jù)(在注冊時授予管理員訪問權限)和用戶角色(在注冊過程中選擇管理員角色)的未經(jīng)身份驗證的權限提升錯誤。
第三個等級為9.8 / 10,因為它需要訪問wp-admin才能訪問該站點的profile.php頁面,但仍被認為是至關重要的,因為它允許任何經(jīng)過身份驗證的攻擊者毫不費力地提升管理員的特權。
Ultimate Member用戶應立即將插件更新到2.1.12,以防止旨在接管運行此插件易受攻擊版本的網(wǎng)站的攻擊。
為甚這個插件越來越不好用,為什么不能像以前的版本一樣設置不允許訪客用后臺登錄頁面了?也不支持設置前端登錄為默認方式