Popularna wtyczka do tworzenia kopii zapasowych WordPress z ponad trzema milionami użytkowników niedawno załatała lukę w zabezpieczeniach, która umożliwiła cyberprzestępcom dostęp do haseł, poświadczeń i innych poufnych danych.
Jak donosi analityk bezpieczeństwa WordFence, badacz Marc Montpas odkrył lukę w UpdraftPlus, wtyczce do tworzenia kopii zapasowych, przywracania i klonowania dla WordPress.
UpdraftPlus ma funkcję, która pozwala użytkownikom wysłać link do pobrania kopii zapasowej pocztą elektroniczną na adres wskazany przez właściciela witryny. Jednak badacz odkrył, że ta funkcja została źle zaimplementowana i umożliwia prawie każdemu, nawet użytkownikom z subskrypcją, utworzenie prawidłowego łącza, które umożliwiłoby im pobranie plików kopii zapasowych.
Aby jednak wykorzystać tę lukę, atakujący musiałby mieć aktywne konto w docelowym systemie, wyjaśniają naukowcy, dochodząc do wniosku, że taki atak musi być ukierunkowany. Potencjalne konsekwencje są określane jako „poważne”, dlatego badacze wzywają wszystkich użytkowników UpdraftPlus do natychmiastowej aktualizacji wtyczek.
Poprawiona wersja to 1.22.3.
Wtyczki WordPress często mają krytyczne wady, które mogą umożliwić atakującym przejęcie pełnej kontroli nad witryną. Zaledwie kilka tygodni temu wykryto, że popularna wtyczka WordPress używana przez ponad milion stron internetowych ma krytyczną lukę polegającą na zdalnym wykonaniu kodu (RCE).
Niedawno odkryto również inną lukę we wtyczce „WordPress Email Template Designer - WP HTML Mail”, która umożliwiła nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu JavaScript, który byłby wykonywany za każdym razem, gdy administrator witryny uzyska dostęp do edytora szablonów, podczas gdy pod koniec października 2021 r.
WordPress Email Template Designer – WP HTML Mail jest używany przez 20,000 8,000 stron internetowych, podczas gdy wtyczki Hashthemes Demo Importer mają ponad XNUMX XNUMX użytkowników.