Die Aufdeckung einer kritischen Sicherheitslücke innerhalb der weit verbreitetes WordPress-Plugin, Ultimatives Mitglied, hat Schockwellen durch die Online-Community ausgelöst. Verfolgt als CVE-2024-1071 und entdeckt vom Sicherheitsforscher Christiaan Swiers, Diese Schwachstelle hat einen erstaunlichen CVSS-Score von 9.8 von 10.
Technischer Überblick über CVE-2024-1071
Die Schwachstelle liegt in Versionen 2.1.3 zu 2.8.2 von Ultimate Member und stammt von a SQL-Injection-Fehler mit der Sortierung verbunden’ Parameter. Angreifer können diese Schwachstelle ausnutzen, um bösartige SQL-Abfragen einzuschleusen, Ausnutzung unzureichender Escape-Mechanismen und unzureichender Abfragevorbereitung. Vor allem, Diese Sicherheitslücke betrifft Benutzer, die sich für das entschieden haben “Benutzerdefinierte Tabelle für Usermeta aktivieren” Option in den Plugin-Einstellungen.
Die Auswirkungen von CVE-2024-1071 sollten nicht unterschätzt werden. Unbefugte Bedrohungsakteure könnten die Schwachstelle ausnutzen, um Websites zu infiltrieren, Datenbankinhalte manipulieren, und möglicherweise sensible Daten extrahieren. Das inhärente Risiko, das von nicht authentifizierten SQL-Injection-Angriffen ausgeht, zeigt die Dringlichkeit sofortiger Gegenmaßnahmen.
Version 2.8.3 von Ultimate Member enthält den Patch
Als Reaktion auf verantwortungsvolle Offenlegung, Die Plugin-Entwickler haben umgehend einen Patch in der Version veröffentlicht 2.8.3 des Ultimate Member im Februar 19. Es ist für Benutzer unerlässlich, ihre Plugins umgehend auf die neueste Version zu aktualisieren, um ihre Websites vor potenzieller Ausnutzung zu schützen. Wordfence, ein WordPress-Sicherheitsunternehmen, hat bereits einen Angriffsversuch im Inneren abgefangen 24 Stunden nach der Offenlegung der Sicherheitslücke, die unmittelbare Bedrohung hervorheben.
Jedoch, Diese Sicherheitslücke ist kein Einzelfall. Es ist Teil eines umfassenderen Trends von Schwachstellen, die auf WordPress-Websites abzielen. Bedrohungsakteure haben bereits zuvor ähnliche Schwachstellen ausgenutzt, sowie CVE-2023-3460, um böswillige Aktivitäten zu orchestrieren, einschließlich der Erstellung betrügerischer Admin-Benutzer.
Andere bösartige Kampagnen gegen WordPress-Sites
Es ist auch eine neue Kampagne aufgetaucht, die kompromittierte WordPress-Seiten nutzt, um Krypto-Drainer einzuschleusen. Die Kampagne nutzt die Abhängigkeit des Web3-Ökosystems von direkten Wallet-Interaktionen, Dies stellt erhebliche Risiken sowohl für Website-Besitzer als auch für Benutzerressourcen dar.
Anspruchsvolle Schemata, wie zum Beispiel der Drainer-as-a-Service (DaaS) Schema namens CG (CryptoGrab) sind auch auf dem Vormarsch. Dieses System betreibt ein groß angelegtes Partnerprogramm, Ermöglicht betrügerische Operationen mit alarmierender Effizienz.