当前位置:首页>Wordpress教程>请尽快更新Ultimate Member插件,低于2.1.12版本存在安全漏洞

请尽快更新Ultimate Member插件,低于2.1.12版本存在安全漏洞

Ultimate Member是一个WordPress用户中心插件,具有100,000多个活动安装,旨在简化个人资料和成员资格管理的任务。允许轻松 ...

Ultimate Member是一个WordPress用户中心插件,具有100,000多个活动安装,旨在简化个人资料和成员资格管理的任务。允许轻松注册以及使用针对各种用户角色的自定义特权构建在线社区。

请尽快更新Ultimate Member插件,低于2.1.12版本存在安全漏洞

强烈建议使用Ultimate Member插件的WordPress网站管理员将其更新至最新版本,以阻止试图利用可能导致网站接管的多个关键漏洞和容易利用的漏洞的攻击。

权限提升错误

在Wordfence威胁情报团队今天早些时候发布的一份报告中,威胁分析师Chloe Chamberland表示,Wordfence披露的三个安全漏洞可能允许攻击者将其特权提升为管理员,并使用易受攻击的Ultimate Member安装完全接管任何WordPress网站。

在10月26日向插件的开发团队披露了这些漏洞之后,Ultimate Member 2.1.12在10月29日发布,修复了这三个特权提升错误。

Wordfence认为其中之一是“非常关键的”,因为它“使原本未经身份验证的用户可以轻松地将其特权提升为管理员的特权。”

Chamberland解释说:“一旦攻击者拥有对WordPress网站的管理访问权限,他们就可以有效地接管整个网站,并且可以执行任何操作,从使网站离线到进一步感染恶意软件,都可以。

其中两个错误的最高CVSS严重等级为10/10,因为它们是通过用户元数据(在注册时授予管理员访问权限)和用户角色(在注册过程中选择管理员角色)的未经身份验证的权限提升错误。

第三个等级为9.8 / 10,因为它需要访问wp-admin才能访问该站点的profile.php页面,但仍被认为是至关重要的,因为它允许任何经过身份验证的攻击者毫不费力地提升管理员的特权。

Ultimate Member用户应立即将插件更新到2.1.12,以防止旨在接管运行此插件易受攻击版本的网站的攻击。

文章链接:https://www.7zt.cn/3049.html
文章标题:请尽快更新Ultimate Member插件,低于2.1.12版本存在安全漏洞
文章版权:柒主题 所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
本文最后更新发布于2022年11月21日 13时42分25秒,某些文章具有时效性,若有错误或已失效,请在下方留言或联系:21660010@qq.com
声明 本站上的部份代码及教程来源于互联网,仅供网友学习交流,若您喜欢本文可附上原文链接随意转载。无意侵害您的权益,请发送邮件至 柒主题 或点击右侧 私信:站长 反馈,我们将尽快处理。

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索