Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞，黑客可将自己的账号提权为管理员，进而控制接管网站。

据悉，该插件存在编号为 CVE-2023-3460 的重大漏洞，风险评分为 9.8，黑客可利用该漏洞，绕过此插件内置的各项安全措施，修改账号的 wp_capabilities 配置数据，以将黑客的账号设置为管理员角色，进而控制受害网站。

插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复，此后在 7 月 1 日发布了 2.6.7 版本，完全修复了该漏洞。

WordPress安全公司WPScan在警报中提到，这是一个非常严重的问题，因为未经身份验证的攻击者可能会利用这个漏洞创建具有管理权限的新用户帐户，从而实现夺取网站的完全控制权。

但该漏洞源于不适当的阻止列表逻辑，所以无法将新用户的wp_capabilities用户元值更改为管理员的用户元值，从而获得对站点的完全访问权。

Wordfence研究员Chloe Chamberland称，虽然该插件有一个预先定义的禁用键列表。但还有一些更简单的方法可以绕过过滤器，例如在插件的易受攻击版本中利用各种大小写，斜杠和提供的元键值中的字符编码。

有报道称，受影响的网站上出现了一些非法管理员账户，因此该插件在2.6.4、2.6.5和2.6.6版本发布了部分修复程序，还有一个新的版本更新预计将在未来几天发布。

这些补丁是不完整的，已经发现了许多绕过它们的方法，这意味着该漏洞仍然可以被积极利用，比如，该漏洞被用于以apadmins、se_野蛮、segs_野蛮、wpadmins、wpengine_backup和wpenginer等名称注册新帐户，通过网站的管理面板上传恶意插件和主题。

建议广大用户，直到该安全漏洞被完全修复前，都建议Ultimate Member的用户禁用该插件，最好审计网站上的所有管理员级用户，以确定是否添加了未经授权的帐户。

经过查询得知，部署该插件的 WordPress 网站超过 20 万个，考虑到这一预装量及信息差导致的插件更新延迟，这些网站依然极容易遭到黑客攻击。