WordPress插件漏洞影响超20万网站
关键要点
- 超过20万使用Ultimate Member插件的WordPress网站存在严重漏洞。
- 漏洞编号CVE-2023-3460 是一个关键的权限提升缺陷。
- 攻击者可以利用该漏洞进行不必要的元数据更新,并注册额外的管理员用户。
- 虽然有最近的补丁更新,但尚未完全修复该漏洞。
根据的报道,超过20万使用UltimateMember插件的WordPress网站可能面临利用关键权限提升漏洞进行的持续攻击。该漏洞编号为CVE-2023-3460,攻击早在本月初便已启动。据至少两位WordPress网站所有者的反馈,攻击情况已经被识别并报告。
这一漏洞的产生主要是由于UltimateMember的黑名单逻辑与WordPress的元数据键管理之间的操作差异,导致攻击者能够进行不必要的元数据键更新,从而允许创建额外的管理员用户账户。这一点根据WPScan的报告得到了证实。
尽管在UltimateMember最近发布的两个版本中已推出补丁来修复这个安全漏洞,但截至目前,漏洞仍未完全解决。因此,专家建议暂时禁用该插件以防止潜在攻击,并进行全面审计,以寻找可能存在的恶意账户。
不容忽视的安全建议: – 禁用受影响插件以降低风险。 – 定期进行网站审计,排查可疑账户。
请务必关注WordPress相关的安全更新,以保障网站的安全性。