Ευπάθεια σε WordPress plugin με πάνω από 3 εκατ. installations
Εκατομμύρια ιστότοποι WordPress έπρεπε να ενημερωθούν εξαιτίας μιας ευπάθειας στο UpdraftPlus, ένα δημοφιλές πρόσθετο που επιτρέπει στους χρήστες να δημιουργούν και να επαναφέρουν αντίγραφα ασφαλείας. Το hack έδωσε τη δυνατότητα σε χρήστες χαμηλών προνομίων να κατεβάσουν αντίγραφα ασφαλείας ενός ιστότοπου, τα οποία περιλαμβάνουν ακατέργαστα αντίγραφα ασφαλείας της βάσης δεδομένων.
Εκατομμύρια ιστότοποι WordPress έπρεπε να ενημερωθούν εξαιτίας μιας ευπάθειας στο UpdraftPlus, ένα δημοφιλές πρόσθετο που επιτρέπει στους χρήστες να δημιουργούν και να επαναφέρουν αντίγραφα ασφαλείας.
Το hack έδωσε τη δυνατότητα σε χρήστες χαμηλών προνομίων να κατεβάσουν αντίγραφα ασφαλείας ενός ιστότοπου, τα οποία περιλαμβάνουν ακατέργαστα αντίγραφα ασφαλείας της βάσης δεδομένων.
Τα αντίγραφα ασφαλείας είναι ένας θησαυρός ευαίσθητων πληροφοριών και συχνά περιλαμβάνουν αρχεία ρυθμίσεων που μπορούν να χρησιμοποιηθούν για πρόσβαση στη βάση δεδομένων του ιστότοπου, καθώς και στα περιεχόμενα της ίδιας της βάσης δεδομένων, εξήγησε η εταιρεία ασφαλείας του WordPress.
Γι’ αυτό, οι προγραμματιστές του UpdraftPlus την προηγούμενη εβδομάδα ζήτησαν την υποχρεωτική εγκατάσταση της ενημέρωσης.
1,7 εκατομμύρια ιστότοποι έχουν ενημερωθεί από την Πέμπτη, από ένα σύνολο 3 εκατομμυρίων χρηστών που χρησιμοποιούν το plugin.
Το κύριο ελάττωμα ήταν ότι το UpdraftPlus δεν εφάρμοσε σωστά τη λειτουργία heartbeat του WordPress και δεν μπορούσε να ελέγξει εάν οι χρήστες είχαν δικαιώματα διαχειριστή. Ένα άλλο ζήτημα ήταν μια μεταβλητή που χρησιμοποιούνταν για την επικύρωση των διαχειριστών για να ξεχωρίζουν από τους μη αξιόπιστους χρήστες.
