请尽快更新Ultimate Member插件,低于2.1.12版本存在安全漏洞
Ultimate Member是一个WordPress用户中心插件,具有100,000多个活动安装,旨在简化个人资料和成员资格管理的任务。允许轻松注册以及使用针对各种用户角色的自定义特权构建在线社区。
强烈建议使用Ultimate Member插件的WordPress网站管理员将其更新至最新版本,以阻止试图利用可能导致网站接管的多个关键漏洞和容易利用的漏洞的攻击。
权限提升错误
在Wordfence威胁情报团队今天早些时候发布的一份报告中,威胁分析师Chloe Chamberland表示,Wordfence披露的三个安全漏洞可能允许攻击者将其特权提升为管理员,并使用易受攻击的Ultimate Member安装完全接管任何WordPress网站。
在10月26日向插件的开发团队披露了这些漏洞之后,Ultimate Member 2.1.12在10月29日发布,修复了这三个特权提升错误。
Wordfence认为其中之一是“非常关键的”,因为它“使原本未经身份验证的用户可以轻松地将其特权提升为管理员的特权。”
Chamberland解释说:“一旦攻击者拥有对WordPress网站的管理访问权限,他们就可以有效地接管整个网站,并且可以执行任何操作,从使网站离线到进一步感染恶意软件,都可以。
其中两个错误的最高CVSS严重等级为10/10,因为它们是通过用户元数据(在注册时授予管理员访问权限)和用户角色(在注册过程中选择管理员角色)的未经身份验证的权限提升错误。
第三个等级为9.8 / 10,因为它需要访问wp-admin才能访问该站点的profile.php页面,但仍被认为是至关重要的,因为它允许任何经过身份验证的攻击者毫不费力地提升管理员的特权。
Ultimate Member用户应立即将插件更新到2.1.12,以防止旨在接管运行此插件易受攻击版本的网站的攻击。
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » 请尽快更新Ultimate Member插件,低于2.1.12版本存在安全漏洞
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 织梦模板使用说明
- 你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html