Популярный плагин резервного копирования WordPress с более чем тремя миллионами пользователей недавно исправил уязвимость, которая позволяла злоумышленникам получать доступ к паролям, учетным данным и другим конфиденциальным данным.
Как сообщили аналитики безопасности WordFence, исследователь Марк Монпас обнаружил уязвимость в UpdraftPlus, плагине резервного копирования, восстановления и клонирования для WordPress.
UpdraftPlus имеет функцию, которая позволяет пользователям отправлять ссылку для загрузки резервной копии по электронной почте на адрес, указанный владельцем сайта. Однако, как обнаружил исследователь, эта функция была плохо реализована и позволяет практически любому, даже пользователям уровня подписки, создать действительную ссылку, которая позволит им загружать файлы резервных копий.
Однако, чтобы воспользоваться уязвимостью, злоумышленнику необходимо иметь активную учетную запись в целевой системе, поясняют исследователи, и приходят к выводу, что такая атака должна быть целевой. Возможные последствия описываются как «серьезные», поэтому исследователи просят всех пользователей UpdraftPlus немедленно обновить свои плагины.
Исправленная версия - 1.22.3.
Плагины WordPress часто имеют критические недостатки, которые могут позволить злоумышленникам получить полный контроль над веб-сайтом. Всего несколько недель назад в популярном плагине WordPress, используемом более чем миллионом веб-сайтов, была обнаружена критическая ошибка удаленного выполнения кода (RCE).
Еще одна уязвимость была недавно обнаружена в плагине «Конструктор шаблонов электронной почты WordPress — WP HTML Mail», которая позволяла неаутентифицированному злоумышленнику внедрить вредоносный код JavaScript, который будет выполняться каждый раз, когда администратор сайта обращается к редактору шаблонов, в то же время октябрь 2021 г. Исследователи обнаружили уязвимость в плагинах Hashthemes Demo Importer, которую можно использовать для полного уничтожения и сброса любого уязвимого веб-сайта WordPress.
Конструктор шаблонов электронной почты WordPress — WP HTML Mail используется на 20,000 8,000 веб-сайтах, а плагины Hashthemes Demo Importer имеют более XNUMX XNUMX пользователей.