Уязвимость высокой степени серьезности в популярном плагине резервного копирования WordPress позволяет злоумышленникам, не прошедшим проверку подлинности, воспользоваться этой уязвимостью. Уязвимости присвоен рейтинг 8,8 по шкале от 0,0 до 10.

UpdraftPlus: плагин WP Backup & Migration

Уязвимость затрагивает популярный плагин WordPress Updraft Plus, установленный на более чем 3 миллионах веб-сайтов. Updraft Plus поставляется в бесплатной и платной версиях, которые позволяют пользователям загружать резервные копии в облачное хранилище пользователя или отправлять файлы по электронной почте. Плагин позволяет пользователям вручную создавать резервные копии веб-сайта или планировать автоматическое резервное копирование. Он предлагает огромную гибкость в отношении того, что можно резервировать, и может иметь огромное значение для восстановления после катастрофической проблемы с сервером, а также полезен для полной миграции на другой сервер.

Wordfence объясняет уязвимость:

«Плагин UpdraftPlus: WP Backup & Migration Plugin для WordPress уязвим к внедрению объектов PHP во всех версиях до 1.24.11 включительно из-за десериализации ненадежных входных данных в функции «recursive_unserialized_replace». Это позволяет неаутентифицированным злоумышленникам внедрить объект PHP.

В уязвимом программном обеспечении отсутствует известная цепочка POP. Если цепочка POP присутствует через дополнительный плагин или тему, установленную в целевой системе, это может позволить злоумышленнику удалить произвольные файлы, получить конфиденциальные данные или выполнить код. Администратор должен выполнить поиск и замену, чтобы активировать эксплойт».

Журнал изменений Updraft Plus, кажется, минимизирует уязвимость, он даже не называет обновление патчем безопасности, оно помечено как «настройка».

От официального Журнал изменений плагина Updraft Plus WordPress:

«ПОДВИЖЕНИЕ: завершена проверка и удаление вызовов PHP-функции unserialize(), позволяющей создавать экземпляры классов, начатые в версии 1.24.7. (Окончательное удаление включало теоретический дефект безопасности, если ваш сайт разработки позволял злоумышленнику публиковать на нем контент, который вы перенесли на другой сайт и который содержал настроенный код, который мог выполнять деструктивные действия, о которых злоумышленник знал до того, как вы затем клонировали В результате этого удаления будут пропущены некоторые поисковые замены, которые вряд ли можно встретить на практике).

Уязвимость Updraft Plus исправлена

Пользователям рекомендуется рассмотреть возможность обновления установленных Updraft Plus до последней версии 1.24.12. Все версии, предшествующие последней, уязвимы.

ЧИТАТЬ  Настоящий Доктор. Фил: Фил Уайзман поможет вам сделать ваш бизнес более заметным в Интернете - NKyTribune

Прочтите рекомендации Wordfence:

UpdraftPlus: плагин WP Backup & Migration

Рекомендованное изображение: Shutterstock/Tithi Luadthong



Source link