WordPress 第三方“用户登录系统”插件曝零日提权漏洞，20 万网站受影响

据悉，该插件存在编号为 CVE-2023-3460 的重大漏洞，风险评分为 9.8，黑客可利用该漏洞，绕过此插件内置的各项安全措施，修改账号的 wp_capabilities 配置数据，以将黑客的账号设置为管理员角色，进而控制受害网站。

插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复，此后在 7 月 1 日发布了 2.6.7 版本，完全修复了该漏洞。

IT之家经过查询得知，部署该插件的 WordPress 网站超过 20 万个，考虑到这一预装量及信息差导致的插件更新延迟，这些网站依然极容易遭到黑客攻击。

广告声明：本文含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考。IT之家所有文章均包含本声明。

未经允许不得转载：新聚网 » WordPress 第三方“用户登录系统”插件曝零日提权漏洞，20 万网站受影响