Unos 200.000 sitios web basados en WordPress utilizan «Ultimate Member», plugin que presenta una vulnerabilidad crítica parcheada en la última versión (versión 2.6.7) lanzada el 1 de Julio, que permite la creación de cuentas secretas de administrador.
La funcionalidad del plugin vulnerado es facilitar la creación de perfiles de usuario y comunidades en sitios WordPress y otras funciones de gestión de cuentas.
Este fallo ya ha sido catalogado como «CVE-2023-3460» (con una puntuación CVSS de 9,8), y afecta a las versiones de «Ultimate Member» anteriores a la 2.6.6.
Este es un problema muy grave, ya que atacantes sin autentificar pueden explotar esta vulnerabilidad y así poder crear nuevas cuentas de usuarios con privilegios de administrador, tomando así el control total del sitio web afectado.
Debido a que es una vulnerabilidad que está siendo explotada activamente, y ser el parche de seguridad que lo remedia muy reciente, los detalles técnicos sobre la misma todavía no se han hecho públicos. No obstante, se sabe que este fallo de seguridad deriva de una lógica inadecuada en la lista de bloqueos utilizada para alterar el valor «wp_capabilities
» de los «user meta values
» de un nuevo usuario al de un administrador y así obtener el acceso completo al sitio.
Chloe Chamberland, investigadora de WordFence ha detallado que aunque el plugin en cuestión tiene una lista predefinida de claves prohibidas que un usuario no debería de poder actualizar, existen métodos triviales de eludir los filtros establecidos.
Este problema salió a la luz después de que aparecieran distintos informes sobre cuentas de administrador fraudulentas que se iban añadiendo a los sitios afectados. Esto llevó a los responsables del plugin a publicar parches con correcciones parciales en las versiones 2.6.4, 2.6.5 y 2.6.6.
La versión 2.6.7 soluciona el fallo de seguridad, por lo que es recomendable que aquellos sitios web que hagan uso de este plugin lo actualicen a esta última versión. Además, como medida de seguridad adicional, los responsables tienen previsto incluir una nueva función que permitirá a los administradores del sitio web restablecer las contraseñas de todos los usuarios.
Más información:
- https://wordpress.org/plugins/ultimate-member/
- https://blog.wpscan.com/hacking-campaign-actively-exploiting-ultimate-member-plugin/
- https://www.wordfence.com/blog/2023/06/psa-unpatched-critical-privilege-escalation-vulnerability-in-ultimate-member-plugin-being-actively-exploited/
- https://wordpress.org/support/topic/register-role-ignored-and-user-became-an-admin/
fuente: unaaldia.hispasec