Mbi tre milionë sajte të bazuara në WordPress kanë marrë një përditësim të detyruar për të adresuar një cenueshmëri kritike në shtojcën UpdraftPlus. Duke shfrytëzuar gabimin, të zbuluar nga studiuesi i Automattic, Marc Montpas, një sulmues mund të përdorte kopje rezervë pa privilegje administratori. Versionet më të fundit janë 1.22.4 (falas) dhe 2.22.4 (premium).
Përditësim i detyruar për plugin UpdraftPlus
Shtojca UpdraftPlus thjeshton kopjen rezervë të bazës së të dhënave dhe procedurën pasuese të rivendosjes. Ju lejon të planifikoni krijimin e kopjeve rezervë që mund të ngarkohen në shërbime të ndryshme të ruajtjes së cloud, duke përfshirë Dropbox dhe Google Drive. Montpas kontaktoi zhvilluesin më 14 shkurt dhe dy ditë më vonë versioni i ri u detyrua të instalohej, duke pasur parasysh ashpërsinë e çështjes së sigurisë.
Duke analizuar kodin, studiuesi zbuloi se plugin nuk kontrollonte nëse përdoruesi kishte privilegje administratori. Prandaj, çdokush (me aftësitë e duhura teknike) mund të shkarkojë kopje rezervë, duke përdorur funksionalitetin që ju lejon të dërgoni një kopje me email. Rezervimet përmbajnë shumë të dhëna të ndjeshme, duke përfshirë fjalëkalimet e hashuara, emrat e përdoruesve dhe adresat IP. Për fat të mirë, aktualisht nuk ka shfrytëzime aktive të njohura.
Përdoruesit që përdorin versionin premium të UpdraftPlus rrezikojnë më pak sepse të dhënat në kopje rezervë janë të koduara. Është e rrallë që një përditësim të detyrohet të instalohet, por në këtë rast ishte i nevojshëm. Nëse nuk keni shkarkuar versionet më të fundit të plugin (1.22.4 dhe 2.22.4), rekomandohet fuqimisht shkarkimi manual.
Discussion about this post