Уязвимость в популярном плагине для WordPress позволяла делать бэкапы сайтов

Обсудить
Уязвимость в популярном плагине для WordPress позволяла делать бэкапы сайтов

По данным Wordfence, в популярном плагине UpdraftPlus была обнаружена критическая уязвимость, разрешавшая любому пользователю загрузить на свое устройство резервную копию данных сайта.

Брешь в безопасности расширения обнаружил Марк Монпас, специализирующийся на поиске ошибок в программном обеспечении. Он нашел способ выгрузить с сайта всю информацию, хранящуюся в бэкапах, при помощи UpdraftPlus, при этом не имея привилегий администратора. 

Фактически, любой зарегистрированный пользователь мог получить доступ к резервным копиям, в которых, в свою очередь, хранится огромное количество персональных данных, конфигурация сайта и т.п. Поэтому степень серьезности последствий от атаки на UpdraftPlus сильно зависит от того, что именно администрация ресурса хранит в бэкапах. 

Плагин UpdraftPlus

Уязвимость считается крайне значимой (8,5 баллов по шкале CVSS) не только потому, что позволяет подобраться к конфиденциальной информации любому желающему, но и из-за популярности UpdraftPlus. У расширения более 3 миллионов установок на официальном сайте WordPress. 

Специалисты по безопасности рекомендуют оперативно обновить UpdraftPlus до последней исправленной версии 1.22.3, а разработчики плагина опубликовали в блоге новость, где рассказали про обнаруженную уязвимость.

Если человек настраивает сервер, это не новость; новость – если сервер настраивает человека.
Новый подкаст от Timeweb

Комментарии

Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Войти в Комьюнити
Регистрация в Комьюнити
Восстановление пароля