Essa vulnerabilidade, identificada como CVE-2023-3460 e classificada como “crítica” com uma pontuação CVSS v3.1 de 9,8, afeta todas as versões do plug-in final, incluindo a versão mais recente, v2.6.6.Embora as tentativas tenham sido feitas pelos desenvolvedores de abordar a falha nas versões 2.6.3, 2.6.4, 2.6.5 e 2.6.6, a vulnerabilidade ainda permanece explorável.Ao modificar o valor do usuário “WP_CAPABILIFIADAS”, os invasores podem atribuir a si mesmos o papel dos administradores, concedendo a eles controle total sobre o site comprometido.O plug-in, que possui mais de 200.000 instalações ativas, foi projetado para facilitar as inscrições do usuário e a construção da comunidade em sites WordPress.O Wordfence, um especialista em segurança do site, descobriu os ataques que exploram essa vulnerabilidade de dias zero.
Fonte: https://s-updigital.com/news/ultimate-member-wordpress-plugin-vulnerability/