Eind oktober ontdekte het Threat Intelligence team van Wordfence meerdere kwetsbaarheden in de Ultimate Member plugin. Deze kwetsbaarheden maken het mogelijk voor een aanvaller om admin rechten te verkrijgen, waardoor ze dus in principe de volledige website kunnen overnemen. De ontwikkelaar heeft inmiddels een update met patch uitgerold.
Over de Ultimate Member plugin
Ultimate Member is een populaire plugin die is ontworpen om de gebruikersregistraties en account controle op WordPress websites te verbeteren. Zo kunnen admins custom gebruikersrollen aanmaken en de privileges van geregistreerde leden beheren. Ultimate Member heeft meer dan 100.000 actieve installaties.
Tijdlijn
Op 19 oktober ontdekte het Threat Intelligence team van Wordfence een kwetsbaarheid in de plugin. In de dagen daarop werd een diepgaand onderzoek uitgevoerd, waarbij nog twee kwetsbaarheden werden geconstateerd. Op 23 oktober nam Wordfence contact op met de ontwikkelaar van de Ultimate Member plugin. Op 26 oktober, toen er een goede communicatielijn was opgezet, verstrekte Wordfence de details van de kwetsbaarheden aan de ontwikkelaar. Dezelfde dag nog leverde de ontwikkelaar met een eerste patch aan bij Wordfence. Nadat zij deze hadden getest konden ze bevestigen dat de patch een van de kwetsbaarheden repareerde, maar dat er nog twee kwetsbaarheden open stonden. Op 29 oktober werd een tweede patch aangeleverd, welke alle drie de kwetsbaarheden bleek te repareren. Diezelfde dag nog werd er een update uitgerold; Ultimate Member versie 2.1.12.
Update
Het gaat om kritische kwetsbaarheden waar relatief gemakkelijk misbruik van kan worden gemaakt. Alle gebruikers van Ultimate Member worden dan ook geadviseerd om de plugin onmiddellijk te updaten naar de meest recente versie, op dit moment 2.2.12. Gebruikers van Wordfence Premium hebben overigens een firewall rule gekregen die hun websites tegen de kwetsbaarheden beschermt. Degenen die gebruik maken van de gratis versie van Wordfence krijgen deze firewall rule op 22 november.