パッチが適用されていない WordPress プラグインの欠陥により、ハッカーが 200,000 のサイトにシークレット管理者を作成できる可能性がある from thehackernews.com

200,000 もの WordPress Web サイトが、Ultimate Member プラグインのパッチが適用されていない重大なセキュリティ脆弱性を悪用した継続的な攻撃の危険にさらされています。
Ultimate Member は、WordPress サイトでのユーザー プロファイルとコミュニティの作成を容易にする人気のプラグインです。
「これは非常に深刻な問題だ。認証されていない攻撃者がこの脆弱性を悪用して、管理者権限を持つ新しいユーザーアカウントを作成し、影響を受けるサイトを完全に制御する権限を与える可能性がある」とWordPressセキュリティ会社WPScanは警告の中で述べた。
この問題は、影響を受けるサイトに不正な管理者アカウントが追加されているという報告が出たことで明らかになり、プラグインの管理者はバージョン 2.6.4、2.6.5、および 2.6.6 で部分修正を発行するよう促されました。
観察された攻撃では、この欠陥を利用して、apadmins、sebrutal、segsbrutal、wpadmins、wpenginebackup、および wpenginer という名前で新しいアカウントを登録し、サイトの管理パネルを通じて悪意のあるプラグインやテーマをアップロードしています。
Ultimate Member のユーザーは、セキュリティ ホールを完全に塞ぐ適切なパッチが利用可能になるまで、プラグインを無効にすることをお勧めします。