数百万WordPress网站在过去一天收到了一个强制更新,以修复名为UpdraftPlus的插件中的一个关键漏洞。
由于该漏洞的严重性,强制性补丁是应UpdraftPlus开发人员的请求发布的。该漏洞允许不受信任的订阅者、客户和其他人下载该网站的私有数据库,只要他们在该易受攻击的网站上有一个帐户。数据库经常包含有关客户或网站安全设置的敏感信息,使数百万网站容易受到严重数据泄露的影响,泄露密码、用户名、IP地址等。
UpdraftPlus简化了备份和恢复网站数据库的过程,是互联网上使用最广泛的WordPress内容管理系统定时备份插件。它简化了对Dropbox、Google Drive、Amazon S3和其他云服务的数据备份。它的开发者表示,它还允许用户安排定期备份,比竞争对手的WordPress插件更快,使用的服务器资源更少。
安全研究员马克·蒙帕斯说:“这个漏洞很容易被利用,如果真的被利用,结果会非常糟糕。”他发现了这个漏洞,并私下向插件开发人员报告了它。“它使低权限用户可以下载网站的备份,包括原始数据库备份。低权限帐户可能意味着很多事情。普通订户、客户(例如,在电子商务网站上)等。”
网站安全公司Jetpack Scan的研究员蒙帕斯说,他在对该插件进行安全审计时发现了该漏洞,并于周二向UpdraftPlus开发者提供了详细信息。一天后,开发者发布了一个补丁,并同意在安装了插件的WordPress网站上强制安装。
WordPress提供的统计数据。org显示,周四有170万个网站收到了该更新,截至记者发稿时,另有28.7万多个网站安装了该更新。WordPress称该插件拥有300多万用户。
此缺陷允许任何在UpdraftPlus处于活动状态的WordPress安装上登录的用户行使下载现有备份的权限,该权限应仅限于管理用户。这是可能的,因为与检查当前备份状态相关的代码缺少权限检查。这允许获取一个内部标识符,该标识符在其他情况下是未知的,然后可用于在获得下载许可后通过检查。
这意味着,如果你的WordPress网站允许不受信任的用户登录WordPress,并且你有任何现有的备份,那么你可能会受到技术熟练的用户的攻击,他们正在研究如何下载现有的备份。如果您的站点包含任何非公共内容,受影响的站点将面临数据丢失/数据被盗的风险,攻击者将访问站点备份的副本。我之所以说“技术熟练”,是因为在这一点上,还没有公开证据表明如何利用这一漏洞。目前,它依靠黑客对最新UpdraftPlus版本中的更改进行反向工程来解决问题。然而,你当然不应该依赖这个需要很长时间,而是应该立即更新。如果你是WordPress网站上的唯一用户,或者你的所有用户都是可信的,那么你就不会受到攻击,但我们仍然建议在任何情况下更新。