انتشار: تیر 09، 1402
بروزرسانی: 23 خرداد 1404اتوماتيك WP.cloud و Pressable.com پلتفرم های میزبانی روندی را در سایت های در معرض خطر پیدا کردند که در آن ها مدیران جدید سرکش ظاهر شدند. پس از بررسی بیشتر، آنها بحثی را در انجمن پشتیبانی WordPress.org در مورد یک پتانسیل پیدا کردند آسیب پذیری افزایش امتیاز در افزونه، و همچنین نشانه هایی مبنی بر اینکه قبلا وجود داشته است به طور فعال مورد بهره برداری قرار می گیرد.
بروزرسانی: 23 خرداد 1404
هکرها به طور فعال از آسیب پذیری افزایش امتیازات اصلاح نشده در افزونه عضو نهایی - WP Tavern استفاده می کنند
علاوه بر فوریت وضعیت، نگاهی به سیستم های نظارتی ما نیز تأیید کرد که حملات با استفاده از این آسیب پذیری واقعاً در طبیعت رخ می دهند.»
نسخه 2.6.6 آخرین نسخه از افزونه Ultimate Member است اما هنوز هم اعتقاد بر این است که آسیب پذیر است. WPScan به کاربران توصیه می کند افزونه را تا زمانی که به اندازه کافی وصله نشده است غیرفعال کنند.
منبع: https://wptavern.com/hackers-actively-exploiting-unpatched-privilege-escalation-vulnerability-in-ultimate-member-plugin
WPScan بیش از ده ها آدرس IP را شناسایی کرده است که اکسپلویت ها از آنها منشأ می گیرند، نام های کاربری رایج برای حساب های مخرب و سایر شاخص های خطر مانند پلاگین ها، تم ها و کدهای مخرب. بررسی کنید مشاوره امنیتی اگر فکر می کنید به خطر افتاده اید.
عضو نهایی، که در بیش از 200000 سایت وردپرس فعال است، این افزونه را اصلاح کرد، اما WPScan گزارش می دهد که کافی نبود.
نویسنده: تیم تحریریه روحانی نژاد