تنبيه خطير فى اضافة وردبرس Ultimate Member لأضافة حساب بصلاحيات admin
مئات الآلاف من مواقع WordPress عرضة لهجمات مستمرة تستغل ثغرة أمنية خطيرة في المكون الإضافي Ultimate Member.
المشكلة، التي تعرف ب CVE-2023-3460 (تصنيف CVSS: 9.8)، تؤثر على جميع إصدارات المكون الإضافي Ultimate Member، بما في ذلك الإصدار الأحدث (2.6.6) الذي تم إصداره في 29 يونيو 2023.
Ultimate Member هو مكون إضافي شهير يسهل إنشاء ملفات تعريف المستخدمين والمجتمعات على مواقع WordPress. ويوفر أيضًا ميزات إدارة الحسابات.
“إنها مشكلة خطيرة للغاية: يمكن للمهاجمين غير المصرح لهم استغلال هذه الثغرة لإنشاء حسابات مستخدمين جديدة بامتيازات إدارية، مما يتيح لهم السيطرة الكاملة على المواقع المتأثرة”، هذا ما ذكرته شركة WPScan للأمان في WordPress في تنبيهها.
وعلى الرغم من حجب التفاصيل حول الثغرة بسبب استغلالها النشط، إلا أنها تنتج عن خطأ في منطق قائمة الحظر غير الملائم التي تم وضعها لتغيير القيمة الوصفية لـ wp_capabilities للمستخدم الجديد إلى تلك التي تمتلكها المسؤول، مما يمنحهم وصولًا كاملاً إلى الموقع.
“على الرغم من وجود قائمة محددة مسبقًا بالمفاتيح المحظورة في المكون الإضافي والتي لا يجب على المستخدم تحديثها، إلا أن هناك طرقًا تافهة لتجاوز المرشحات المطبقة مثل استخدام الحالات المختلفة والشرط المائل وتشفير الأحرف في قيمة مفتاح التعريف الذي يتم تقديمه في الإصدارات الضعيفة للبرنامج المساعد”، هذا ما صرحت به الباحثة في Wordfence، كلوي تشامبرلاند.
ظهرت المشكلة بعد تقارير عن إضافة حسابات مسؤولية غير مصرح بها إلى المواقع المتأثرة، مما دفع مسؤولي صيانة المكونات الإضافية إلى إصدار تحديثات جزئية في الإصدارات 2.6.4 و 2.6.5 و 2.6.6. ومن المتوقع أن يتم إصدار تحديث جديد في الأيام المقبلة.
الحلول :
ينصح مستخدمو Ultimate Member بتعطيل المكون الإضافي حتى يتم توفير تحديث يغلق الثغرة بشكل كامل. كما يُنصح أيضًا بمراجعة جميع حسابات المستخدمين على مستوى المسؤول على مواقع الويب للتحقق من عدم وجود حسابات غير مصرح بها.
أصدر فريق Ultimate Member الإصدار 2.6.7 النهائي من المكون الإضافي في 1 يوليو لمعالجة ثغرة تصعيد الامتياز التي تم استغلالها بشكل نشط. وكإجراء أمني إضافي، يخططون أيضًا لإضافة ميزة جديدة داخل المكون الإضافي تتيح إعادة تعيين كلمات المرور لجميع المستخدمين من قبل مسؤولي مواقع الويب.
أشار المشرفون في تقرير استشاري مستقل إلى أن “الإصدار 2.6.7 يقدم قائمة بيضاء لمفاتيح التعريف التي يتم تخزينها أثناء إرسال النماذج”، وأضافوا “يفصل الإصدار 2.6.7 أيضًا بيانات إعدادات النموذج والبيانات المقدمة ويشغلها في متغيرين مختلفين”.
