7月4日,据透露,一款受欢迎的WordPress博客平台插件“Ultimate Member”存在重大的零日漏洞。这款用户登录系统插件中的该漏洞可能使黑客有机会提升自己的账号权限,成为管理员并最终控制整个网站。 这个被揭露的插件漏洞被编号为CVE-2023-3460,风险评级高达9.8。黑客可以利用该漏洞绕过此插件内置的安全措施,修改账户的wp_capabilities配置数据,进而将自己的账号角色提升为管理员,从而控制受害网站。 插件开发者在6月26日发布的Ultimate Member 2.6.3版本中对该漏洞进行了部分修复,然后在7月1日发布的2.6.7版本中,这个漏洞被完全修复。 据了解,使用这款插件的WordPress网站超过20万个,考虑到因信息延迟导致的插件更新难以及时进行,这些网站仍有很大的可能面临黑客攻击的风险。
