Stulbinančiame atradime, garsi saugos įmonė „Wordfence“ neseniai atskleidė kritinį nulinės dienos pažeidžiamumą plačiai naudojamame „vartotojo prisijungimo sistemos“ įskiepyje „Ultimate Member“, kuris naudojamas „WordPress“ tinklaraščių platformoje.
Šis pažeidžiamumas leidžia įsilaužėliams išnaudoti savo paskyras ir įgyti aukštesnes administravimo teises, taip veiksmingai suteikiant jiems visišką tikslinių svetainių kontrolę.
Saugos trūkumui, identifikuotam kaip CVE-2023-3460, buvo priskirtas 9,8 rizikos balas, kas nurodo jo rimtumą. Dėl šio pažeidžiamumo kibernetiniai nusikaltėliai gali apeiti įskiepyje integruotas saugos priemones, leisdami jiems manipuliuoti vartotojų paskyrų konfigūracijos wp_capabilities duomenimis. Nustatydami savo paskyras kaip administratorius, įsilaužėliai gali visiškai kontroliuoti paveiktas svetaines.
Įskiepio kūrėjai greitai sureagavo, kad išspręstų problemą. Birželio 26 d. jie išleido „Ultimate Member” 2.6.3 versiją, kuri iš dalies sumažino pažeidžiamumą. Vėliau, liepos 1 d., buvo išleista 2.6.7 versija, siūlanti visišką saugos trūkumo pataisymą.
Nerimą kelia tai, kad daugiau nei 200 000 „WordPress“ svetainių naudojo „Ultimate Member“ įskiepį. Atsižvelgiant į didelį įdiegimų skaičių ir galimą įskiepio atnaujinimo vėlavimą dėl nepakankamos informacijos sklaidos, šios svetainės išlieka ypač pažeidžiamos piktybinių asmenų išnaudojimui.
Žiniatinklio administratoriams ir svetainių savininkams primygtinai patariama nedelsiant imtis veiksmų atnaujinant savo „Ultimate Member” įskiepį į naujausią 2.6.7 versiją, kad apsaugotų savo svetaines nuo galimų atakų. Be to, labai svarbu išlikti budriems ir stebėti bet kokią įtartiną veiklą ar neteisėtos prieigos bandymus.
Ekspertai pabrėžia, kad svarbu nedelsiant pašalinti programinės įrangos spragas ir nuolat diegti naujausias saugos pataisas. Reguliarus įskiepių ir programinės įrangos atnaujinimas yra esminė praktika, užtikrinanti svetainės vientisumą ir apsauga nuo naujų kibernetinių grėsmių.
