Theo The Hacker News, lỗ hổng có mã theo dõi CVE-2023-3460 (điểm CVSS 9,8), tồn tại trong tất cả phiên bản của plugin (tiện ích mở rộng) Ultimate Member, gồm cả phiên bản mới nhất (2.6.6) được phát hành vào ngày 29/6/2023.

Ultimate Member là một plugin phổ biến giúp cho việc tạo hồ sơ người dùng và cộng đồng trên các website WordPress. Tiện ích này cũng cung cấp các tính năng quản lý tài khoản.

WPScan - công ty bảo mật WordPress cho biết lỗi bảo mật này rất nghiêm trọng, qua đó những kẻ tấn công có thể khai thác chúng để tạo tài khoản người dùng mới với các đặc quyền quản trị, trao cho hacker quyền kiểm soát hoàn toàn các website bị ảnh hưởng.

Thông tin chi tiết về lỗ hổng đã được giữ lại do lo ngại bị lạm dụng. Chuyên gia bảo mật từ Wordfence mô tả dù plugin có một danh sách các khóa bị cấm người dùng không thể cập nhật, nhưng có những cách đơn giản để bỏ qua các bộ lọc như dùng dấu gạch chéo hoặc mã hóa ký tự trong giá trị được cung cấp trong các phiên bản của plugin.

Lỗi bảo mật này được công bố sau khi có báo cáo xuất hiện về tài khoản quản trị viên giả mạo được thêm vào các website bị ảnh hưởng. Việc này khiến những nhà phát triển plugin đưa ra các bản sửa lỗi một phần trong các phiên bản 2.6.4, 2.6.5 và 2.6.6. Một bản cập nhật mới dự kiến sẽ được phát hành trong những ngày tới.

Ultimate Member cho biết trong phiên bản mới phát hành rằng lỗ hổng leo thang đặc quyền được sử dụng thông qua UM Forms, cho phép người lạ tạo người dùng WordPress cấp quản trị viên. Tuy vậy, WPScan chỉ ra các bản vá chưa hoàn chỉnh và đã tìm thấy nhiều phương pháp để phá vỡ chúng, nghĩa là lỗi này vẫn có thể bị khai thác.

Lỗ hổng đang được sử dụng để đăng ký tài khoản mới dưới tên apads, se_brutal, segs_brutal, wpadmins, wpengine_backup và wpenginer để tải lên các plugin và chủ đề (themes) độc hại thông qua bảng quản trị của website. Người dùng Ultimate Member nên tắt plugin cho đến khi có bản vá hoàn toàn lỗ hổng bảo mật này.