WordPress 会员注册插件曝出严重漏洞,6 万 + 网站面临风险
安全研究人员近日发现 WordPress 插件 User Registration & Membership 存在一个严重安全漏洞,该插件安装在超过 60,000 个网站上。漏洞评分高达 9.8/10,攻击者无需任何身份验证即可创建管理员级别账户,完全控制目标网站。
漏洞原理:权限管理缺失
该漏洞影响 5.1.2 及以下所有版本,已在 5.1.3 版本中修复。 问题根源在于会员注册过程中的权限管理不当。插件在用户注册时接受用户提交的角色参数,但没有在服务器端强制实施允许的角色白名单。 服务器端白名单是一种安全控制机制,用于限制注册时可以分配哪些用户角色。缺少这一限制后,系统会处理提交的角色值,无论是什么。 由于缺少这项检查,攻击者可以在注册时将角色指定为 administrator(管理员),从而创建具有完全控制权的管理员账户。
攻击者能做什么
一旦创建管理员账户,攻击者即可获得 WordPress 网站的完全控制权,能够执行以下操作:
- 安装或删除插件
- 修改主题
- 上传恶意代码
- 创建或删除用户账户
- 访问网站数据
这意味着攻击者实际上可以完全接管网站。 根据 Wordfence 安全公告 的描述:
“User Registration & Membership 插件在所有 5.1.2 及以下版本中都存在权限管理不当的问题。这是由于插件在会员注册期间接受用户提供的角色,但没有正确执行服务器端白名单。这使得未经身份验证的攻击者可以通过在会员注册期间提供角色值来创建管理员账户。”
受影响版本与修复方案
| 状态 | 版本号 |
|---|---|
| 受影响版本 | 5.1.2 及以下 |
| 已修复版本 | 5.1.3 及以上 |
修复方案限制了会员注册期间可以分配的角色,防止用户提交管理员等提升角色。
网站管理员应采取的措施
如果您正在使用 User Registration & Membership 插件,请立即更新到 5.1.3 或更高版本。 由于该漏洞无需身份验证即可利用,停留在易受攻击版本的网站随时可能遭到攻击者创建管理员账户。更新插件后,用户将无法在注册期间分配特权角色。 建议网站管理员:
- 检查当前插件版本
- 如为 5.1.2 或更低,立即备份网站后更新
- 审查用户列表,确认是否有可疑的管理员账户
- 启用双因素认证等额外安全措施
