WordPress插件漏洞影响超20万网站

关键要点

• 超过20万使用Ultimate Member插件的WordPress网站存在严重漏洞。
• 漏洞编号CVE-2023-3460 是一个关键的权限提升缺陷。
• 攻击者可以利用该漏洞进行不必要的元数据更新，并注册额外的管理员用户。
• 虽然有最近的补丁更新，但尚未完全修复该漏洞。

根据的报道，超过20万使用UltimateMember插件的WordPress网站可能面临利用关键权限提升漏洞进行的持续攻击。该漏洞编号为CVE-2023-3460，攻击早在本月初便已启动。据至少两位WordPress网站所有者的反馈，攻击情况已经被识别并报告。

这一漏洞的产生主要是由于UltimateMember的黑名单逻辑与WordPress的元数据键管理之间的操作差异，导致攻击者能够进行不必要的元数据键更新，从而允许创建额外的管理员用户账户。这一点根据WPScan的报告得到了证实。

尽管在UltimateMember最近发布的两个版本中已推出补丁来修复这个安全漏洞，但截至目前，漏洞仍未完全解决。因此，专家建议暂时禁用该插件以防止潜在攻击，并进行全面审计，以寻找可能存在的恶意账户。

不容忽视的安全建议： – 禁用受影响插件以降低风险。 – 定期进行网站审计，排查可疑账户。

请务必关注WordPress相关的安全更新，以保障网站的安全性。