Secondo quanto riportato dai ricercatori sarebbero attualmente più di 200.000 i siti a rischio che utilizzano Wordpress in combinazione con il plugin “Ultimate Member”.

Ultimate Member, un componente del famoso strumento per la creazione di siti Web Wordpress, presenta infatti una pericolosa vulnerabilità che permette la compromissione dell’intero sito ospitato.

La vulnerabilità, a cui è stato assegnato il CVE-2023-3460, permette ad un attaccante remoto la creazione di un utente di sistema con i privilegi amministrativi ed il conseguente controllo completo del sito Web vulnerabile. L’attacco non richiede il possesso di credenziali valide all’interno del sistema.

Cos’è Ultimate Member?

Ultimate Member è un popolare plugin di Wordpress che permette la creazione semplificata di profili utente all’interno del sistema, ed una loro gestione semplificata.

In data 1° Luglio 2023 è stata rilasciata la versione 2.6.7 del plugin. Tale versione corregge la vulnerabilità riscontrata.

Annuncio ufficiale della vulnerabilità

L’ annuncio ufficiale della vulnerabilità è stato fornito dal personale della WPScan ed è consultabile al seguente link:

1. https://blog.wpscan.com/hacking-campaign-actively-exploiting-ultimate-member-plugin/

Cosa fare se usate il plugin Ultimate Member sul vostro sito in Wordpress

Il nostro consiglio in questo caso è quello di verificare tutti i vostri siti Wordpress che presentano il plugin Ultimate Member, ed eventualmente aggiornarlo all’ultima versione disponibile.

Inoltre, è importante effettuare una verifica puntuale degli utenti di sistema, poiché se la vulnerabilità è stata in precedenza sfruttata da malintenzionati potrebbe essere presente sul vostro sistema uno o più utenti indesiderati con privilegi amministrativi. Secondo quanto riportato dai ricercatori è possibile creare attraverso tale vulnerabilità degli utenti “nascosti”, pertanto la verifica degli utenti di sistema deve essere fatta direttamente dall’interno del database utilizzato da Wordpress. Gli utenti nascosti non sono visibili nella normale lista utenti fornita da Wordpress.