El sistema de gestión de contenidos de WordPress (CMS, por sus siglas en inglés), informó una falla rastreada como CVE-2023-3460 (puntaje CVSS: 9.8), vulnerabilidad de seguridad crítica sin parches en todas las versiones del complemento Ultimate Member, lo que podría poner en riesgo de ataque a 200.000 sitios web de WordPress. Dicho complemento, facilita la creación de perfiles de usuario y comunidades, además de proporcionar funciones como administrador de cuentas, donde los atacantes no autenticados pueden explotar esta vulnerabilidad, creando nuevas cuentas de usuario con privilegios administrativos y mediante esta acción, tomar el control total de los sitios.

Captura de Imagen del Complemento (The Hacker News)

El incidente salió a la luz después de que surgieron informes de cuentas de administrador no autorizadas que se agregaron a los sitios afectados, lo que provocó que el sector a cargo del mantenimiento de este complemento, emitieran correcciones parciales en las versiones 2.6.4, 2.6.5 y 2.6.6

Por otro lado, WPScan, herramienta de escaneo y análisis de seguridad en los sitios basados en WordPress, señaló que los parches están incompletos y que encontró numerosos métodos para eludirlos, lo que significa que la vulnerabilidad aún se puede explotar activamente.

En los ataques observados, notaron que la falla se usa para registrar nuevas cuentas con los nombres apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup y wpenginer, donde a través de ellos, cargan los archivos maliciosos en el panel de administración del sitio.

Se espera que en los próximos días se publique una nueva actualización, mientras tanto, como medida preventiva, a modo de atender esta vulnerabilidad, se recomienda auditar a todos los usuarios de nivel de administrador en los sitios web, para determinar si se han agregado nuevas cuentas no autorizadas, además de deshabilitar el complemento hasta que esté disponible un parche adecuado que cubra por completo esta brecha de seguridad. 

Fuente

https://thehackernews.com/2023/07/unpatched-wordpress-plugin-flaw-could.html