Bogues critiques dans le plugin WordPress Ultimate Member Endanger 100K sites - FR

Bogues critiques dans Ultimate Member WordPress Plugin Endanger 100K Sites article imageVotre site WordPress utilise-t-il le plugin Ultimate Member? Si c'est le cas, vous devez savoir que le plugin contient des vulnérabilités critiques d'escalade de privilèges. Pour éviter tout problème, vous devez mettre à jour le plugin avec la dernière version disponible, 2.1.12, qui a été publié en octobre 29, 2020.

Le plugin a été activement installé sur plus de 100,000 des sites, qui peut être attaqué si elle n'est pas corrigée.

Le but du plugin Ultimate Member est d'améliorer l'enregistrement des utilisateurs et le contrôle des comptes sur les sites WordPress. Le plugin permet aux propriétaires de sites de créer des rôles personnalisés et de contrôler les privilèges des membres du site. L'utilitaire crée automatiquement trois formulaires pour fonctionner correctement, consistant en l'enregistrement de l'utilisateur, s'identifier, et gestion de profil.

Trois vulnérabilités critiques d'escalade de privilèges dans le plugin Ultimate Member WordPress

Les chercheurs de Wordfence "ont découvert que le formulaire d'inscription des utilisateurs ne contenait pas de contrôle sur les données utilisateur soumises." L'absence de contrôles a permis aux attaquants de fournir des méta clés utilisateur arbitraires pendant le processus d'enregistrement. Pour épargner à nos lecteurs les gros détails techniques, cela a créé une vulnérabilité critique permettant aux utilisateurs initialement non authentifiés d'élever leurs privilèges à un administrateur.

L'accès administrateur aux cybercriminels peut conduire à de nombreuses activités malveillantes, y compris mettre le site hors ligne ou l'infecter avec des logiciels malveillants. Sans surprise, le score CVSS de cette vulnérabilité, qui a été surnommé «Escalade de privilèges non authentifiée via User Meta," est 10.00, ou critique.

La deuxième vulnérabilité du plugin dans Ultimate Member a également la même note CVSS de 10.00. Connu sous le nom de «Escalade des privilèges non authentifiés via les rôles d'utilisateur,”La faille critique est liée à la précédente. "En raison du manque de filtrage sur le paramètre de rôle qui pourrait être fourni lors du processus d'inscription, un attaquant pourrait fournir le paramètre de rôle avec une fonctionnalité WordPress ou n'importe quel rôle de membre ultime personnalisé et se voir effectivement accorder ces privilèges,"Wordfence dit.

La troisième vulnérabilité notée 9.9 en termes de gravité, s'appelle «Escalade des privilèges authentifiés via la mise à jour du profil». La faille provient d'un manque de vérification de capacité sur une mise à jour de profil. Le bogue peut être utilisé par les utilisateurs authentifiés pour augmenter leurs privilèges avec un minimum de difficulté.

La divulgation technique complète des failles du plugin Ultimate Member est disponible dans le rapport original. Nous vous invitons également à lire HowToHosting.Guide’s article utile sur la sécurité Web.

Recherche et rédaction par:
Éditeurs HowToHosting
HowToHosting.guide fournit une expertise et un aperçu du processus de création de blogs et de sites Web, trouver le bon hébergeur, et tout ce qui se trouve entre les deux. En savoir plus...

Laisser un commentaire

Votre adresse email ne sera pas publiée. les champs requis sont indiqués *

Ce site utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à notre Politique de confidentialité.
Je suis d'accord
Sur HowToHosting.Guide, nous proposons des avis transparents sur l'hébergement Web, garantir l’indépendance vis-à-vis des influences extérieures. Nos évaluations sont impartiales car nous appliquons des normes strictes et cohérentes à tous les avis..
Bien que nous puissions gagner des commissions d'affiliation de certaines des sociétés présentées, ces commissions ne compromettent pas l'intégrité de nos avis et n'influencent pas notre classement.
Les revenus de l'affilié contribuent à couvrir l'acquisition du compte, frais de tests, entretien, et développement de notre site Web et de nos systèmes internes.
Faites confiance à howtohosting.guide pour des informations fiables et une sincérité en matière d'hébergement.