上升气流,一个允许用户备份到各种云提供商的插件,已经修补了一个严重的安全漏洞,允许登录用户下载站点的最新备份。 修补版本 (1.22.3) 是通过强制自动更新发出的,这是为影响大量用户的严重漏洞保留的措施。 UpdraftPlus 在超过 300 万个 WordPress 网站上活跃。
该漏洞是 发现 Jetpack Scan Security 研究员 Marc Montpas 在内部审计期间。 UpdraftPlus 向用户解释了该漏洞 咨询 更新结束后:
此缺陷允许任何在 UpdraftPlus 处于活动状态的 WordPress 安装上登录的用户行使下载现有备份的权限,该权限本应仅限于管理用户。 这是可能的,因为与检查当前备份状态相关的代码缺少权限检查。 这允许获得一个内部标识符,该标识符在其他情况下是未知的,然后可用于在允许下载时通过检查。
该问题影响插件的付费和免费版本。 在收到报告后一小时内,向付费客户推送了修复程序。 1.16.7 和 1.22.3 之间的每个版本的免费插件都是易受攻击的。 UpdraftPlus 声称大多数网站都已更新。 WordPress.org 统计数据显示,大约 35% 的 Updraft 用户尚未更新到最新版本,这使得超过一百万的安装仍然容易受到攻击。
到目前为止,还没有确认的漏洞利用报告。 有关漏洞的更多详细信息,请查看 Montpas 的 报告 在 Jetpack 网站上。 鼓励 UpdraftPlus 用户检查他们的网站,以确保插件在最新的修补版本上运行。