最新发布的WordPress插件漏洞已影响300万个站点

最新发布的WordPress插件漏洞已影响300万个站点插图1
最新发布的WordPress插件漏洞已影响300万个站点插图3

近日,已发布的补丁包含 UpdraftPlus 中的严重安全漏洞,这是一个安装量超过300 万的 WordPress 插件,可以武器化以使用易受攻击站点上的帐户下载站点的私人数据。

从2019年3月起,UpdraftPlus的所有版本都包含一个由缺少权限级别检查导致的漏洞,允许不受信任的用户访问备份。该插件的维护者在本周发布的一份公告中表示。

Automattic(软件服务公司)的安全研究员 Marc-Alexandre Montpas 在2月14日发现并报告了该漏洞,该漏洞的标识符为CVE-2022-0633(CVSS 评分:8.5)。该问题影响从1.16.7 到 1.22.2的UpdraftPlus版本。

UpdraftPlus是一种备份和恢复解决方案,能够对WordPress 文件、数据库、插件和主题执行完整、手动或计划的备份,然后可以通过 WordPress管理仪表板恢复这些备份。此缺陷的一个后果是,它允许安装了UpdraftPlus的WordPress安装上的任何登录用户行使下载现有备份的权限 – 权限应该只保留给管理用户。

WordPress 安全公司 Wordfence表示,除了泄露密码和其他机密数据外,在某些情况下,如果攻击者能够从配置文件中获取数据库凭据并成功访问站点数据库,它还可能接管站点。

建议UpdraftPlus 插件的用户更新到版本 1.22.3(或高级版的 2.22.3)以减少任何潜在的利用。截至 2 月 17 日可用的最新版本是 1.22.4,它解决了与在 PHP 8 上打印自动备份选项相关的错误。

  • 俄罗斯否认网络攻击乌克兰

  • VMware修复了天府杯中的多个严重漏洞

  • 紧急状况!针对乌克兰的大规模网络混合战已经开始

  • BlackByte 勒索软件入侵美国政府、金融等关键基础设施部门

  • 克罗地亚电话运营商披露数据泄露致20万人信息曝光

  • 谷歌Project Zero报告称甲骨文、微软、三星修复零日漏洞效果最差

注:本文由E安全编译报道。

原创文章 最新发布的WordPress插件漏洞已影响300万个站点,版权所有
如若转载,请注明出处:https://www.itxiaozhan.cn/20222472.html

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注