Le plugin Ultimate Member pour WordPress présente une vulnérabilité critique qui fait actuellement l'objet d'attaques continues. Plus de 200 000 sites web WordPress sont menacés. Le plugin Ultimate Member est couramment utilisé pour activer les fonctions d'enregistrement et de connexion des utilisateurs, ainsi que pour gérer les profils d'utilisateurs, les rôles, les champs de formulaire personnalisés et les répertoires de membres.

La vulnérabilité, identifiée comme CVE-2023-3460 avec un score CVSS de 9.8, permet aux attaquants d'ajouter un nouveau compte utilisateur au groupe des administrateurs. Certains utilisateurs du plugin ont remarqué la création de comptes non autorisés et l'ont signalée récemment, mais les attaques se sont probablement produites depuis le début du mois de juin.

La cause première du problème, identifiée par la société de sécurité WordPress WPScan, est un conflit entre la logique de la liste de blocage du plugin et la manière dont WordPress gère les clés de métadonnées. Le plugin utilise des listes de blocage pour stocker les clés de métadonnées qui ne doivent pas être modifiées par les utilisateurs, et il vérifie ces listes chaque fois que les utilisateurs tentent d'enregistrer des comptes. Cependant, en raison des différences de fonctionnement entre le plugin et WordPress, les attaquants ont pu manipuler le plugin et mettre à jour les clés de métadonnées, y compris celle qui stocke le rôle et les capacités de l'utilisateur. Cela leur a permis d'enregistrer des comptes d'utilisateurs avec le rôle d'administrateur.

Les responsables du plugin Ultimate Member ont tenté de remédier à la vulnérabilité dans les deux dernières versions, mais ils ne l'ont pas entièrement corrigée. Ils ont reconnu que la vulnérabilité était toujours exploitée dans la nature et la considèrent comme un bogue d'escalade des privilèges.

Pour protéger leurs sites web, il est conseillé aux propriétaires de sites de désactiver le plugin Ultimate Member afin d'empêcher l'exploitation de la vulnérabilité. Ils devraient également procéder à un audit de tous les rôles d'administrateur sur leurs sites afin d'identifier tout compte frauduleux qui aurait pu être créé à la suite de cette attaque.