最新發(fā)布的WordPress插件漏洞已影響300萬個(gè)站點(diǎn)
2022年02月22日
近日��,已發(fā)布的補(bǔ)丁包含 UpdraftPlus 中的“嚴(yán)重”安全漏洞,這是一個(gè)安裝量超過300 萬的 WordPress 插件����,可以武器化以使用易受攻擊站點(diǎn)上的帳戶下載站點(diǎn)的私人數(shù)據(jù)。
“從2019年3月起�����,UpdraftPlus的所有版本都包含一個(gè)由缺少權(quán)限級(jí)別檢查導(dǎo)致的漏洞��,允許不受信任的用戶訪問備份�����。”該插件的維護(hù)者在本周發(fā)布的一份公告中表示��。
Automattic(軟件服務(wù)公司)的安全研究員 Marc-Alexandre Montpas 在2月14日發(fā)現(xiàn)并報(bào)告了該漏洞��,該漏洞的標(biāo)識(shí)符為CVE-2022-0633(CVSS 評(píng)分:8.5)�����。該問題影響從1.16.7 到 1.22.2的UpdraftPlus版本�����。
UpdraftPlus是一種備份和恢復(fù)解決方案�����,能夠?qū)ordPress 文件�、數(shù)據(jù)庫�����、插件和主題執(zhí)行完整�����、手動(dòng)或計(jì)劃的備份,然后可以通過 WordPress管理儀表板恢復(fù)這些備份��。此缺陷的一個(gè)后果是��,它允許安裝了UpdraftPlus的WordPress安裝上的任何登錄用戶行使下載現(xiàn)有備份的權(quán)限 - 權(quán)限應(yīng)該只保留給管理用戶�。
WordPress 安全公司 Wordfence表示,除了泄露密碼和其他機(jī)密數(shù)據(jù)外�����,“在某些情況下�����,如果攻擊者能夠從配置文件中獲取數(shù)據(jù)庫憑據(jù)并成功訪問站點(diǎn)數(shù)據(jù)庫��,它還可能接管站點(diǎn)����。”
建議UpdraftPlus 插件的用戶更新到版本 1.22.3(或高級(jí)版的 2.22.3)以減少任何潛在的利用�����。截至 2 月 17 日可用的最新版本是 1.22.4���,它解決了與在 PHP 8 上打印自動(dòng)備份選項(xiàng)相關(guān)的錯(cuò)誤���。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
