Varoitus! WordPress-laajennuksen haavoittuvuus uhkaa miljoonia sivuja

On taas se aika kuukaudesta, jolloin jälleen yksi WordPress-laajennuksen haavoittuvuus ponnahtaa esiin, melkein kuin kellonkelloa. Tällä kertaa haavoittuvuus koskee UpdraftPlus-laajennusta, joka on asennettu noin 3 miljoonaan julkaisualustaa käyttävään verkkosivustoon.

Etuoikeutettu pääsy varmuuskopioihin

Ongelman havaitsi tietoturvatutkija Marc Montpas, ja myöhemmin Wordfence - WordPress-tietoturvaan erikoistunut tiimi - tutki sitä yksityiskohtaisessa viestissä. UpdraftPlusin vika koodattiin kahvan CVE 2022-0633 alle ja sai vakavuusluokituksen 8,5 tai korkea.

Haavoittuvuus mahdollisti jokaisen aktiivisen ja onnistuneesti sisäänkirjautuneen käyttäjän millä tahansa WordPress-sivustolla, joka käyttää UpdraftPlusia, ladata olemassa olevia sivustojen varmuuskopioita – minkä pitäisi olla mahdollista vain korotetuilla oikeuksilla, kuten järjestelmänvalvojien hallussa.

Mahdollisuus vain napata koko varmuuskopiotieto voi johtaa kaikenlaisiin ongelmiin, aina valtuustietojen varkauksista arkaluontoisten ja etuoikeutettujen tietojen saamiseen.

Wordfence selitti, että jos mahdollinen huono näyttelijä lähettäisi sivustolle erityisesti räätälöidyn sydämenlyönnin, he saisivat sitten pääsyn "varmuuskopiolokiin, joka sisältää varmuuskopion ja aikaleiman". Kaikkia kolmea yhdessä voidaan käyttää verkkosivuston varmuuskopion lataamiseen kerralla.

Suositut laajennukset tarjoavat suuren hyökkäyspinnan

Haavoittuvuus ei ole läheskään niin kauhea kuin miltä näyttää, koska jos tämän toimenpiteen suorittaa ulkoinen huono toimija, hakkereilla olisi silti oltava säännöllinen pääsy sivuston WordPress-alustan esiintymään. Kuitenkin, riittäisi, että sinulla on joukko vaarantuneita kirjautumistietoja. Tutkijat uskovat, että tätä kompensoi se tosiasia, että UpdraftPlus on erittäin suosittu ja se on asennettu noin 3 miljoonalle verkkosivustolle.

Pelkästään tammikuussa 2022 WordPress-laajennuksista löydettiin useita vakavia bugeja , mukaan lukien yksi, jonka vakavuusluokitus on 10. Liitännäisten puutteiden ongelmana on, että monet liitännäisosat, joihin liitännät vaikuttavat, on otettu hyvin laajalti käyttöön, kuten UpdraftPlus, mikä johtaa erittäin suuri mahdollinen hyökkäyspinta, joka on mahdollisten uhkatekijöiden käytettävissä.