Popularna wtyczka do tworzenia kopii zapasowych WordPress z ponad trzema milionami użytkowników niedawno załatała lukę, która umożliwiała cyberprzestępcom dostęp do haseł, poświadczeń i innych poufnych danych.

Jak donoszą analitycy bezpieczeństwa WordFence, badacz Marc Montpas odkrył lukę w UpdraftPlus, wtyczce do tworzenia kopii zapasowych, przywracania i klonowania dla WordPress.

UpdraftPlus ma funkcję, która pozwala użytkownikom wysłać łącze do pobrania kopii zapasowej za pośrednictwem poczty e-mail na adres wskazany przez właściciela witryny. Jednak ta funkcja była słabo zaimplementowana, jak odkrył badacz, i pozwala prawie każdemu, nawet użytkownikom na poziomie subskrypcji, utworzyć prawidłowy link, który umożliwiłby im pobranie plików kopii zapasowych.

Jednak aby wykorzystać tę lukę, atakujący musiałby mieć aktywne konto w systemie docelowym, wyjaśniają badacze, dochodząc do wniosku, że taki atak musi być ukierunkowany. Możliwe konsekwencje są określane jako „poważne”, dlatego badacze proszą wszystkich użytkowników UpdraftPlus o natychmiastową aktualizację swoich wtyczek.

Poprawiona wersja to 1.22.3.

Wtyczki WordPress często mają krytyczne wady, które mogą umożliwić atakującym przejęcie pełnej kontroli nad witryną. Zaledwie kilka tygodni temu odkryto, że popularna wtyczka WordPress używana przez ponad milion stron internetowych ma krytyczną lukę w zdalnym wykonywaniu kodu (RCE).

Niedawno odkryto również inną lukę we wtyczce „WordPress Email Template Designer – WP HTML Mail”, która umożliwiała nieuwierzytelnionemu napastnikowi wstrzyknięcie złośliwego kodu JavaScript, który byłby wykonywany za każdym razem, gdy administrator witryny uzyskuje dostęp do edytora szablonów, podczas gdy w celach od października 2021 r. , badacze odkryli lukę we wtyczkach Hashthemes Demo Importer, która może zostać wykorzystana do całkowitego wyczyszczenia i zresetowania dowolnej podatnej na ataki witryny WordPress.

Projektant szablonów wiadomości e-mail WordPress: WP HTML Mail jest używany przez 20,000 8,000 stron internetowych, podczas gdy wtyczki Hashthemes Demo Importer mają ponad XNUMX XNUMX użytkowników.

Udostępnij to