Luka w UpdraftPlus: WP Backup & Wtyczka migracyjna wpływa na ponad 3 miliony witryn WordPress, umożliwiając nieuwierzytelnionym atakującym wykonywanie poleceń jako administratorzy. Ta luka umożliwia atakującym przesyłanie i aktywowanie złośliwych wtyczek, co może prowadzić do potencjalnego zdalnego wykonania kodu.
UpdraftPlus to jedno z najczęściej używanych rozwiązań do tworzenia kopii zapasowych dla WordPress, pomagające użytkownikom tworzyć kopie zapasowe, przywracać strony internetowe i migrować między serwerami. Wtyczka obsługuje przechowywanie kopii zapasowych w wielu usługach chmurowych i zdalnych.
Luka nie wymaga od osoby atakującej logowania się ani posiadania konta WordPress, aby móc ją wykorzystać. Na ten problem podatne są tylko witryny z aktywnym kluczem Migrator lub kluczem UpdraftCentral. Wersje do 1.26.4 włącznie zawierają lukę wynikającą z błędu funkcji UpdraftPlus_Remote_Communications_V2::wp_loaded.
Ta luka w zabezpieczeniach jest klasyfikowana jako luka umożliwiająca obejście uwierzytelniania, umożliwiająca atakującym ominięcie weryfikacji tożsamości i kontroli poświadczeń, umożliwiając im wykonywanie działań na poziomie administracyjnym bez logowania. Osoby atakujące wykorzystują tę lukę z powodu niewystarczającej weryfikacji formatów wiadomości komunikacji zdalnej.
W Wordfence szczegółowo podano, że luka umożliwia nieuwierzytelnionym atakującym sfałszowanie dowolnych poleceń RPC, które wtyczka wykonuje jako podłączony administrator. Oznacza to, że mogą przesyłać i aktywować złośliwe wtyczki, co może prowadzić do zdalnego wykonania kodu na zagrożonych stronach internetowych.
Potencjalne konsekwencje tej luki obejmują rozległe zagrożenia, takie jak infekcja złośliwym oprogramowaniem, uszkodzenie witryny internetowej, nieautoryzowany dostęp i kradzież poufnych informacji. Pojawiły się dowody aktywnych prób wykorzystania tej luki – firma Wordfence zgłosiła 8172 zablokowanych ataków wymierzonych w tę lukę w ciągu 24 godzin.
Firma UpdraftPlus wydała łatkę rozwiązującą ten problem. Użytkownikom zdecydowanie zaleca się natychmiastową aktualizację swoich instalacji do wersji 1.26.5 lub nowszej, aby zabezpieczyć swoje strony internetowe przed tą luką.
