Recursos Afectados
Páginas WordPress que utilicen el plugin “Ultimate Member” igual o anterior a la versión 2.6.6
Descripción
Se conoce que unos 200.000 sitios web basados en WordPress utilizan el plugin “Ultimate Member”. A este plugin se le ha detectado una vulnerabilidad crítica parcheada en la última versión (versión 2.6.7) lanzada el 1 de Julio. La vulnerabilidad permite la creación de cuentas secretas de administrador, a esta se le ha asignado el siguiente código: CVE-2023-2809 (con una puntuación CVSS de 9,8)
Solución
La vulnerabilidad ha sido solucionada con la actualización del plugin a 2.6.7
Para garantizar la seguridad de las webs WordPress se recomienda siempre tener el CMS y los plugins actualizados.
Detalle
Este es un problema muy grave, ya que atacantes sin autentificar pueden explotar esta vulnerabilidad y así poder crear nuevas cuentas de usuarios con privilegios de administrador, tomando así el control total del sitio web afectado.
Debido a que es una vulnerabilidad que está siendo explotada activamente, y ser el parche de seguridad que lo remedia muy reciente, los detalles técnicos sobre la misma todavía no se han hecho públicos.
Este problema salió a la luz después de que aparecieran distintos informes sobre cuentas de administrador fraudulentas que se iban añadiendo a los sitios afectados. Esto llevó a los responsables del plugin a publicar parches con correcciones parciales en las versiones 2.6.4, 2.6.5 y 2.6.6.
La versión 2.6.7 soluciona el fallo de seguridad, por lo que es recomendable que aquellos sitios web que hagan uso de este plugin lo actualicen a esta última versión. Además, como medida de seguridad adicional, los responsables tienen previsto incluir una nueva función que permitirá a los administradores del sitio web restablecer las contraseñas de todos los usuarios.