Предупреждение! Уязвимость плагина WordPress угрожает миллионам страниц
Снова наступило то время месяца, когда всплывает еще одна уязвимость плагина WordPress, почти как по маслу. На этот раз уязвимость касается плагина UpdraftPlus, который установлен примерно на 3 миллионах веб-сайтов, на которых работает платформа публикации.
Привилегированный доступ к резервным копиям
Проблема была обнаружена исследователем безопасности Марком Монпасом и позже рассмотрена в подробном посте Wordfence — команды, специализирующейся на безопасности WordPress. Уязвимость в UpdraftPlus была кодифицирована под дескриптором CVE 2022-0633 и получила рейтинг серьезности 8,5 или высокий.
Уязвимость позволяла любому активному и успешно вошедшему в систему пользователю на любом веб-сайте WordPress, на котором работает UpdraftPlus, загружать существующие резервные копии сайта, что должно быть возможно только с повышенными привилегиями, такими как права администратора.
Возможность просто захватить все данные резервной копии может привести к всевозможным проблемам в будущем, начиная от кражи учетных данных и заканчивая доступом к конфиденциальной и конфиденциальной информации.
Wordfence объяснила, что если потенциальный злоумышленник отправит на сайт специально настроенный пульс, он получит доступ к «журналу резервного копирования, содержащему одноразовый номер резервной копии и отметку времени». Все три вместе можно использовать для массовой загрузки резервной копии веб-сайта.
Популярные плагины предлагают большую поверхность атаки
Уязвимость не так ужасна, как кажется, потому что, если это действие будет выполнено внешним злоумышленником, хакеру все равно потребуется постоянный доступ к экземпляру платформы WordPress для сайта. Однако для этого достаточно иметь набор скомпрометированных учетных данных для входа. Исследователи считают, что это компенсируется тем фактом, что UpdraftPlus очень популярен и установлен примерно на 3 миллионах сайтов.
Только в январе 2022 года в плагинах WordPress было обнаружено несколько серьезных ошибок , в том числе одна с рейтингом серьезности 10. Проблема с недостатками плагинов заключается в том, что многие из затронутых плагинов очень широко распространены, как и UpdraftPlus, что приводит к очень большая потенциальная поверхность атаки, доступная потенциальным субъектам угроз.