Badacze bezpieczeństwa zidentyfikowali lukę w UpdraftPlus for WordPress, wtyczce z ponad 3 milionami instalacji, która pozwala każdemu użytkownikowi pobrać kopie zapasowe atakowanych witryn.

Monitor

WordPress ma ogromną bazę instalacji, czyni go głównym celem zarówno atakujących, jak i badaczy bezpieczeństwa. Dobrą wiadomością jest to, że ta krytyczna luka UpdraftPlus została wykryta przez badacza bezpieczeństwa i szybko załatana.

Atakujący mogli równie łatwo odkryć lukę w zabezpieczeniach i wykorzystać ją w złych zamiarach.

Skala problemu

Ponieważ UpdraftPlus to wtyczka, która zajmuje się tworzeniem kopii zapasowych i przywracaniem całych stron internetowych, jest oczywiste, że luka, która pozwoliłaby komuś pobrać kopię zapasową, jest bardzo wrażliwym problemem.

„Ta wada umożliwia każdemu zalogowanemu użytkownikowi instalacji WordPress z aktywnym UpdraftPlus korzystanie z przywileju pobierania istniejącej kopii zapasowej, który powinien być ograniczony tylko do użytkowników administracyjnych” – powiedzieli twórcy UpdraftPlus. „Było to możliwe z powodu braku kontroli uprawnień w kodzie związanym ze sprawdzaniem aktualnego stanu kopii zapasowej” – dodali. „Umożliwiło to uzyskanie wewnętrznego identyfikatora, który w innym przypadku był nieznany, a następnie mógł zostać wykorzystany do sprawdzenia uprawnień do pobrania”.

Jak wykorzystać błąd

Aby osoby atakujące mogły wykorzystać tę lukę, muszą posiadać odpowiednie umiejętności techniczne, a żaden dowód na to, jak wykorzystać tę lukę, nie został upubliczniony. Badacz bezpieczeństwa Marc-Alexandre Montpas z Automattic odkrył ten problem, a zespół UpdraftPlus szybko załatał wtyczkę. Zespół potwierdził, że większość stron internetowych już zastosowała łatkę, ale przy 3 milionach pobrań minie trochę czasu, zanim wszyscy będą na bieżąco.

Zadbaj o swoje bezpieczeństwo

Oferta Marken

Wiedza Bitdefender