Sigurnosni istraživači u Automattic i Wordfence detaljno su opisali prilično kritičnu sigurnosnu pogrešku u UpdraftPlusu, popularnom dodatku za WordPress.
Istraživači su primijetili da ova pogreška može dopustiti polu-privilegiranom korisniku da preuzme sigurnosne kopije stranice i ukrade osjetljive podatke koji su na njoj dostupni. Proizvođači UpdraftPlus-a objavili su zakrpu i pozvali administratore web-mjesta da je primijene.
Ranjivost u UpdraftPlus dodatku
UpdraftPlus, WordPress dodatak koji se koristi za stvaranje, obnavljanje i migraciju sigurnosnih kopija sada se pretvorio u prijetnju za milijune web stranica koje se oslanjaju na njega. To je zbog sigurnosne ranjivosti koja je pronađena u njoj, a koja može dopustiti kvalificiranom napadaču da ozbiljno ošteti podatke stranice.
Kako su napisali istraživači na Automatski (Matično poduzeće WordPress.com) i Wordfence (zaštitna tvrtka), greška u UpdraftPlus-u omogućit će ograničenom napadaču (nekome s osnovnim korisničkim pristupom ciljanom mjestu) preuzimanje datoteka sigurnosne kopije. To je nešto što je ograničeno samo na korisnike web-mjesta na razini administratora.
To je kasnije potvrdio i UpdraftPlus tim u sigurnosni bilten. Na svojoj web stranici UpdraftPlus tvrdi da ima više od tri milijuna WordPress web stranica koje pokreću njegov dodatak, uključujući Microsoft, Cisco i NASA! I s ocjenom ozbiljnosti koju je dobio (8.5/10), prati se kao CVE-2022-0633 smatra se prilično ozbiljnom prijetnjom.
Rečeno je da je stvarni problem u mehanizmu provjere valjanosti sustava UpdraftPlus, gdje ne uspijeva prepoznati tko traži sigurnosne kopije. I nazvan je kao WordPress funkcija otkucaja srcaistraživači Wordfencea.
Sve što napadač treba učiniti je “pošaljite posebno izrađen zahtjev otkucaja srca koji sadrži podatke[updraftplus] parametar”. To će napadaču omogućiti dobivanje sigurnosne kopije dnevnika koji sadrži sve osjetljive podatke koje je pohranila stranica. To se prvenstveno može koristiti za krađu identiteta, u slučaju da imate PII, ili druge zlonamjerne napade.
UpdraftPlus tim je objavio zakrpu za ovo u srijedu, kao verzije 1.22.3 (free) i 2.22.3 (plaćenih) dodataka, te poziva administratore stranice da ažuriraju što je prije moguće.
