Attention, administrateurs WordPress ! Des chercheurs ont découvert une vulnérabilité de type “zero-day” dans le Plugin Ultimate Member de WordPress, que les pirates exploitent pour obtenir des privilèges élevés sur les sites Web ciblés. Jusqu'à ce que le correctif arrive, désinstaller le plugin est la seule option viable pour protéger tes sites Web.
Le jour zéro du plugin Ultimate Member activement exploité
Selon un récent billet de Wordfence, un grave problème de sécurité affecte le plugin Ultimate Member que des pirates criminels ont commencé à exploiter pour cibler des sites web.
Ultimate Member est un plugin WordPress dédié qui offre des fonctionnalités de profil d'utilisateur et d'adhésion pour les sites web. Le plugin facilite la création de profils accrocheurs et de communautés en ligne avec des enregistrements de membres rapides.
À l'heure actuelle, la page officielle du plugin sur WordPress se targue d'avoir plus de 200 000 installations actives. Bien que cela indique l'utilité du plugin et sa popularité subséquente, cela suggère également que toute vulnérabilité dans ce plugin peut avoir un impact direct sur des milliers de sites Web dans le monde entier.
L'une de ces vulnérabilités de gravité critique a récemment attiré l'attention de l'équipe de Wordfence. Comme nous l'avons observé, ils ont remarqué une vulnérabilité d'escalade des privilèges (CVE-2023-3460 ; CVSS 9.8) qui permettait des enregistrements d'administrateurs malhonnêtes.
Plus précisément, la faille existait parce que le plugin utilisait une liste prédéfinie de clés méta d'utilisateurs interdits qu'un adversaire peut contourner en ajoutant des barres obliques à la clé méta de l'utilisateur. Un attaquant non authentifié peut définir la clé méta de l'utilisateur en ajoutant des barres obliques à la clé méta de l'utilisateur. wp_capabilities user meta value à ‘administrator' pour obtenir un accès administrateur au site web.
L'équipe de Wordfence a observé de nombreux cas d'exploitation active de cette vulnérabilité, où les attaquants ont créé des comptes voyous avec les noms d'utilisateur ” wpenginer “, ” wpadmins “, ” wpengine_backup “, ” se_brutal ” et ” segs_brutal “. Les chercheurs ont également partagé les indicateurs de compromission dans leur billet.
Le correctif n'arrive toujours pas malgré les efforts déployés
Suite à la découverte du bug et à la détection de l'exploitation, les développeurs du plugin ont commencé à travailler sur le correctif de la faille. Cependant, leurs efforts n'ont apparemment pas abouti, car la vulnérabilité affecte même la dernière version 2.6.6.
Selon les développeurs, l'équipe travaille à la correction de la vulnérabilité depuis la version 2.6.3 d'Ultimate Member. Les versions suivantes (2.6.4, 2.6.5 et 2.6.6) visaient également à “combler partiellement” la faille. Cependant, elles travaillent toujours à la résolution complète du problème, ce qui signifie que la vulnérabilité menace toujours tous les sites Web.
Par conséquent, jusqu'à ce qu'un correctif arrive, la seule solution pour protéger les sites Web des attaques potentielles est de désactiver/désinstaller le plugin. En outre, les développeurs du plugin conseillent vivement aux utilisateurs de continuer à vérifier les mises à jour.
Fais-nous part de tes réflexions dans les commentaires.
