Mais de 200.000 sites WordPress estão expostos a ataques em andamento que visam uma vulnerabilidade crítica no plugin Ultimate Member.

Projetado para facilitar o registro e o login dos usuários nos sites, o plugin permite que os proprietários do site adicionem perfis de usuários, definam funções, criem campos de formulário personalizados e diretórios de membros, entre outros.

Rastreada como CVE-2023-3460, a falha de segurança recentemente identificada no Ultimate Member permite que os atacantes adicionem uma nova conta de usuário ao grupo de administradores.

Alguns usuários do plugin observaram a criação de contas falsas e as reportaram esta semana, mas os ataques parecem estar em andamento pelo menos desde o início de junho.

Os mantenedores do plugin, que descrevem o problema como um bug de escalação de privilégio, tentaram abordá-lo nas duas últimas versões do Ultimate Member, mas aparentemente falharam em corrigi-lo completamente.

No entanto, eles reconheceram que existe uma exploração em curso.