Wordpress Ultimate Member Plugin ثغرة امنية


Ultimate Member هي اضافة شائعة قوم الإضافة بتمكين المستخدمين من التسجيل ليصبحوا أعضاء في موقعك. تسمح لك الإضافة بإضافة ملف تعريف للمستخدم على موقعك.

ظهرت مشكلة بعد ظهور تقارير عن إضافة حسابات إدارية  إلى المواقع المتضررة، مما دفع مشرفي الإضافة إلى إصدار إصلاحات جزئية في الإصدارات 2.6.4 و 2.6.5 و 2.6.6. 


قالت شركة WPScan للأمن WordPress في تنبيه:  قد يستغل المهاجمون  هذه الثغرة الأمنية لإنشاء حسابات مستخدم جديدة بامتيازات إدارية، مما يمنحهم القدرة على السيطرة الكاملة على المواقع المتضررة.

على الرغم من حجب التفاصيل ، إلا أن للمهاجمين يقومون بتغيير القيمة الفوقية wp_capabilities للمستخدم الجديد  والوصول الكامل إلى الموقع.

أصدر مؤلفو Ultimate Member الإصدار 2.6.7 من الملحق في 1 جوان لمعالجة عيب تصعيد الامتياز المستغل بنشاط. كإجراء أمان إضافي، يخططون أيضًا لشحن ميزة جديدة داخل الملحق لتمكين مسؤولي موقع الويب من إعادة تعيين كلمات المرور لجميع المستخدمين. لذلك عليك بتحديث الاضافة


https://wordpress.org/support/topic/register-role-ignored-and-user-became-an-admin/

تم سد الثغرة في اصدار Ultimate Member  2.6.7

CVSS score: 9.8

المقالة التالية المقالة السابقة
لا توجد تعليقات
اضـف تعليق
comment url