La vulnérabilité du plugin Ultimate Member WordPress, avec plus de 200 000 installations actives, est activement exploitée sur des sites WordPress non corrigés. On dit que la vulnérabilité nécessite un effort insignifiant pour contourner les filtres de sécurité.
- Une vulnérabilité critique a été découverte dans le plugin Ultimate Member WordPress, avec plus de 200 000 installations actives
- Le correctif publié par les éditeurs n'a pas entièrement résolu la vulnérabilité et elle continue d'être exploitée par des pirates
- L'équipe d'Ultimate Member s'est excusée publiquement et a publié plusieurs mises à jour pour corriger la vulnérabilité
- Les utilisateurs du plugin sont invités à mettre immédiatement à jour vers la version 2.6.7 pour éviter toute prise de contrôle complète de leur site web
Vulnérabilité du plug-in de membre ultime
Le plugin Ultimate Member WordPress permet aux éditeurs de créer des communautés en ligne sur leurs sites Web.
Le plugin fonctionne en créant un processus sans friction pour les inscriptions des utilisateurs et la création de profils d’utilisateurs. C’est un plugin populaire, en particulier pour les sites d’adhésion.
La version gratuite du plugin dispose d’un ensemble de fonctionnalités généreux comprenant :
Les profils d’utilisateurs frontaux, l’inscription, la connexion et les éditeurs peuvent également créer des répertoires de membres.
Le plugin contenait également une faille critique qui permettait à un visiteur du site de créer des profils de membres avec essentiellement des privilèges de niveau administrateur.
La base de données de sécurité WPScan décrit la gravité de la vulnérabilité :
« Le plugin n’empêche pas les visiteurs de créer des comptes d’utilisateurs avec des capacités arbitraires, permettant effectivement aux attaquants de créer des comptes d’administrateur à volonté.
Ceci est activement exploité dans la nature.
Échec de la mise à jour de sécurité
La vulnérabilité a été découverte fin juin 2023 et les éditeurs d’Ultimate Member ont réagi rapidement avec un correctif pour fermer la vulnérabilité.
Ce correctif pour la vulnérabilité a été publié dans la version 2.6.5, publiée le 28 juin.
Le changelog officiel du plugin indiquait :
« Corrigé : une vulnérabilité d’escalade de privilèges utilisée via les formulaires UM.
Connue dans la nature, cette vulnérabilité permettait à des étrangers de créer des utilisateurs WordPress de niveau administrateur.
Veuillez mettre à jour immédiatement et vérifier tous les utilisateurs de niveau administrateur sur votre site Web.
Cependant, ce correctif n’a pas complètement corrigé la vulnérabilité et les pirates ont continué à l’exploiter sur les sites Web.
Les chercheurs en sécurité de Wordfence ont analysé le plugin et ont déterminé le 29 juin que le correctif ne fonctionnait en fait pas, décrivant leurs découvertes dans un article de blog :
« Après une enquête plus approfondie, nous avons découvert que cette vulnérabilité était activement exploitée et qu’elle n’avait pas été correctement corrigée dans la dernière version disponible, qui est la 2.6.6 au moment d’écrire ces lignes. »
Le problème était si grave que Wordfence a décrit l’effort nécessaire pour pirater le plugin comme insignifiant.
Wordfence a expliqué:
« Bien que le plugin ait une liste prédéfinie de clés interdites, qu’un utilisateur ne devrait pas pouvoir mettre à jour, il existe des moyens triviaux de contourner les filtres mis en place, tels que l’utilisation de divers cas, barres obliques et codage de caractères dans une valeur de méta-clé fournie. dans les versions vulnérables du plugin.
Cela permet aux attaquants de définir la méta-valeur de l’utilisateur wp_capabilities, qui contrôle le rôle de l’utilisateur sur le site, sur « administrateur ».
Cela accorde à l’attaquant un accès complet au site vulnérable lorsqu’il est exploité avec succès.
Le niveau d’utilisateur Administrateur est le niveau d’accès le plus élevé d’un site WordPress.
Ce qui rend cet exploit particulièrement préoccupant, c’est qu’il s’agit d’une classe appelée « escalade de privilèges non authentifiés », ce qui signifie qu’un pirate n’a besoin d’aucun niveau d’accès au site Web pour pirater le plugin.
Le membre ultime s’excuse
L’équipe d’Ultimate Member a publié des excuses publiques à ses utilisateurs dans lesquelles ils ont fourni un compte rendu complet de tout ce qui s’est passé et de la manière dont ils ont réagi.
Il convient de noter que la plupart des entreprises publient un correctif et se taisent. Il est donc louable et responsable qu’Ultimate Member soit franc avec ses clients au sujet des incidents de sécurité.
Ultimate Member a écrit :
« Tout d’abord, nous voulons dire désolé pour ces vulnérabilités dans le code de notre plugin et à tout site Web qui a été impacté et l’inquiétude que cela a pu causer en apprenant les vulnérabilités.
Dès que nous avons été informés que des vulnérabilités de sécurité avaient été découvertes dans le plugin, nous avons immédiatement commencé à mettre à jour le code pour corriger les vulnérabilités.
Nous avons publié plusieurs mises à jour depuis la divulgation au fur et à mesure que nous travaillions sur les vulnérabilités, et nous voulons dire un grand merci à l’équipe de WPScan pour avoir fourni une assistance et des conseils à ce sujet après avoir pris contact pour divulguer les vulnérabilités.
Les utilisateurs du plugin sont invités à mettre à jour immédiatement
Les chercheurs en sécurité de WPScan exhortent tous les utilisateurs du plugin à mettre immédiatement à jour leurs sites vers la version 2.6.7.
Une annonce spéciale de WPScan note :
Campagne de piratage exploitant activement le plugin Ultimate Member
« Une nouvelle version, la 2.6.7, est sortie ce week-end et corrige le problème.
Si vous utilisez Ultimate Member, mettez à jour cette version dès que possible.
Il s’agit d’un problème très grave : des attaquants non authentifiés peuvent exploiter cette vulnérabilité pour créer de nouveaux comptes d’utilisateurs avec des privilèges d’administration, leur donnant le pouvoir de prendre le contrôle total des sites concernés. »
Cette vulnérabilité est notée 9,8 sur une échelle de 1 à 10, dix étant le niveau le plus grave.
Il est fortement recommandé aux utilisateurs du plugin de mettre à jour immédiatement.
Image sélectionnée par Shutterstock/pedrorsfernandes
FAQ
Quel est le tutoriel du plugin Ultimate Member ?
Le tutoriel du plugin Ultimate Member est un guide complet pour utiliser ce plugin sur votre site WordPress. Il vous montre étape par étape comment configurer les paramètres de bases, créer un formulaire d'inscription pour vos membres, gérer leurs profils et personnaliser l'apparence du plugin selon vos préférences.
Vous y trouverez également des conseils utiles pour optimiser l'expérience de vos utilisateurs et tirer le meilleur parti des fonctionnalités offertes par Ultimate Member.
Comment utiliser le plugin Ultimate Member sur WordPress ?
Pour utiliser le plugin Ultimate Member sur WordPress, il faut d'abord l'installer en se rendant dans la section "Extensions" de votre tableau de bord WordPress. Une fois installé et activé, vous pourrez accéder aux différentes options du plugin via l'onglet "Ultimate Member" dans votre menu d'administration.
Vous pourrez ainsi personnaliser les réglages, créer des formulaires d'inscription personnalisés et gérer les membres inscrits sur votre site. N'hésitez pas à consulter la documentation du plugin pour en savoir plus sur ses fonctionnalités et son utilisation.
Où télécharger gratuitement le plugin Ultimate Member Pro ?
Il est possible de télécharger gratuitement le plugin Ultimate Member Pro sur le site officiel de WordPress ou sur des plateformes spécialisées en plugins WordPress. Il suffit de rechercher la version gratuite du plugin et de cliquer sur "télécharger". Certains sites proposent également une version d'essai gratuite avant l'achat du plugin complet.
Il est cependant important de vérifier la compatibilité du plugin avec votre version de WordPress avant de l'installer.
Quelles sont les étapes à suivre pour configurer le plugin Ultimate Member sur WordPress ?
Pour configurer le plugin Ultimate Member sur WordPress, il suffit de suivre quelques étapes simples. Tout d'abord, téléchargez et activez le plugin depuis l'onglet "Extensions" de votre tableau de bord WordPress. Ensuite, allez dans les paramètres du plugin pour personnaliser les options selon vos besoins.
Enfin, utilisez les différents widgets proposés par Ultimate Member pour afficher des profils d'utilisateurs personnalisés sur votre site.
Y a-t-il des vulnérabilités connues pour le plugin Ultimate Member ?
Il y a quelques vulnérabilités connues pour le plugin Ultimate Member, principalement liées à sa compatibilité avec d'autres plugins ou à des erreurs de configuration. Cependant, ces problèmes sont généralement rapidement résolus par les développeurs grâce aux mises à jour fréquentes du logiciel.
Il est donc recommandé de toujours utiliser la dernière version du plugin pour éviter toute faille de sécurité potentielle. En outre, il est important de suivre les bonnes pratiques en matière de sécurité des données et d'effectuer régulièrement des sauvegardes pour protéger vos informations sensibles.