20万以上インストールのWordPress人気プラグイン、緊急のゼロデイ脆弱性

Defiantはこのほど、「PSA: Unpatched Critical Privilege Escalation Vulnerability in Ultimate Member Plugin Being Actively Exploited」において、WordPressの人気プラグインである「Ultimate Member」に重大な脆弱性があるとして、注意を呼び掛けた。20万以上のWordPressサイトにインストールされているプラグインに、パッチが適用されていない権限昇格の脆弱性があることが明らかとなった。

脆弱性は「CVE-2023-3460」として追跡されており、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3のスコア値は9.8で深刻度は緊急(Critical)に位置づけられている。この脆弱性が悪用された場合、サイト上でのユーザの役割を制御するwp_capabilitiesユーザメタ値がadministratorに設定され、未認証の攻撃者が管理者としてサイトに登録されてしまう可能性がある。

国内最大級の品揃え【DMMブックス】ロリポップ!
どんなソフトを使ったら良いか分からないアナタに!ソフトナビ

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり

  • Ultimate Member バージョン2.6.6以下

Ultimate Memberプラグインに存在するこの脆弱性が活発に悪用されていることが確認されている。本稿執筆時時点では、適切にパッチが適用された利用可能な最新バージョンは提供されていないため、該当するプラグインを使用している場合は問題が解決されるまでWordPressからアンインストールすることが推奨されている。

情報元
https://news.mynavi.jp/techplus/article/20230704-2717668/