По данным Wordfence, в популярном плагине UpdraftPlus была обнаружена критическая уязвимость, разрешавшая любому пользователю загрузить на свое устройство резервную копию данных сайта.
Брешь в безопасности расширения обнаружил Марк Монпас, специализирующийся на поиске ошибок в программном обеспечении. Он нашел способ выгрузить с сайта всю информацию, хранящуюся в бэкапах, при помощи UpdraftPlus, при этом не имея привилегий администратора.
Фактически, любой зарегистрированный пользователь мог получить доступ к резервным копиям, в которых, в свою очередь, хранится огромное количество персональных данных, конфигурация сайта и т.п. Поэтому степень серьезности последствий от атаки на UpdraftPlus сильно зависит от того, что именно администрация ресурса хранит в бэкапах.
Уязвимость считается крайне значимой (8,5 баллов по шкале CVSS) не только потому, что позволяет подобраться к конфиденциальной информации любому желающему, но и из-за популярности UpdraftPlus. У расширения более 3 миллионов установок на официальном сайте WordPress.
Специалисты по безопасности рекомендуют оперативно обновить UpdraftPlus до последней исправленной версии 1.22.3, а разработчики плагина опубликовали в блоге новость, где рассказали про обнаруженную уязвимость.
Комментарии