Популярный плагин резервного копирования WordPress с более чем тремя миллионами пользователей недавно исправил уязвимость, которая позволяла злоумышленникам получать доступ к паролям, учетным данным и другим конфиденциальным данным.

Как сообщили аналитики безопасности WordFence, исследователь Марк Монпас обнаружил уязвимость в UpdraftPlus, плагине резервного копирования, восстановления и клонирования для WordPress.

UpdraftPlus имеет функцию, которая позволяет пользователям отправлять резервную ссылку для скачивания по электронной почте на адрес, указанный владельцем сайта. Однако исследователь обнаружил, что эта функция была плохо реализована и позволяет почти любому, даже пользователям с подпиской, создать действующую ссылку, которая позволит им загружать файлы резервных копий.

Однако для использования уязвимости злоумышленнику необходимо иметь активную учетную запись в целевой системе, объясняют исследователи, делая вывод, что такая атака должна быть целенаправленной. Возможные последствия описываются как «серьезные», поэтому исследователи просят всех пользователей UpdraftPlus немедленно обновить свои плагины.

Исправленная версия 1.22.3.

Плагины WordPress часто имеют критические недостатки, которые могут позволить злоумышленникам получить полный контроль над веб-сайтом. Всего несколько недель назад в популярном плагине WordPress, используемом более чем миллионом веб-сайтов, была обнаружена критическая уязвимость удаленного выполнения кода (RCE).

Еще одна уязвимость была также недавно обнаружена в плагине «Конструктор шаблонов электронной почты WordPress — WP HTML Mail», которая позволяла злоумышленнику, не прошедшему проверку подлинности, внедрять вредоносный JavaScript, который будет выполняться каждый раз, когда администратор сайта обращается к редактору шаблонов, в то время как для целей по состоянию на октябрь 2021 г. , исследователи обнаружили уязвимость в плагинах Hashthemes Demo Importer, которую можно было использовать для полной очистки и сброса любого уязвимого веб-сайта WordPress.

Дизайнер шаблонов электронной почты WordPress — WP HTML Mail используется 20,000 8,000 веб-сайтов, а плагины Hashthemes Demo Importer имеют более XNUMX XNUMX пользователей.

Поделиться