WordPress“用户登录系统”插件曝零日提权漏洞，20万网站受影响

xiao9469 · 发表于 2023-7-4 13:15:37

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

IT之家 7 月 4 日消息，Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞，黑客可将自己的账号提权为管理员，进而控制接管网站。

WordPress“用户登录系统”插件曝零日提权漏洞，20万网站受影响 wordpress,用户,用户登录,登录,系统

WordPress“用户登录系统”插件曝零日提权漏洞，20万网站受影响 wordpress,用户,用户登录,登录,系统

▲ 图源 Wordfence

据悉，该插件存在编号为 CVE-2023-3460 的重大漏洞，风险评分为 9.8，黑客可利用该漏洞，绕过此插件内置的各项安全措施，修改账号的 wp_capabilities 配置数据，以将黑客的账号设置为管理员角色，进而控制受害网站。

WordPress“用户登录系统”插件曝零日提权漏洞，20万网站受影响 wordpress,用户,用户登录,登录,系统

▲ 图源 Wordfence

插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复，此后在 7 月 1 日发布了 2.6.7 版本，完全修复了该漏洞。

IT之家经过查询得知，部署该插件的 WordPress 网站超过 20 万个，考虑到这一预装量及信息差导致的插件更新延迟，这些网站依然极容易遭到黑客攻击。

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！