Разработчики WordPress пошли на редкий шаг и принудительно обновили плагин UpdraftPlus на всех сайтах, где он установлен. Это произошло из-за серьезной уязвимости, позволявшей даже пользователям с низкими привилегиями загружать последние бэкапы БД, которые часто содержат учетные данные и другую личную информацию.
Уязвимость, получившая идентификатор CVE-2022-0633 (8,5 балла о шкале CVSS), затрагивает плагин UpdraftPlus начиная от версии 1.16.7 по 1.22.2. Разработчики уже исправили баг в составе версий 1.22.3 и 2.22.3 (Premium).
Баг в плагине, суммарно установленном более трех миллионов раз, обнаружил ИБ-исследователь Марк Монпас. По идее, UpdraftPlus помогает администраторам упростить процесс резервного копирования и восстановления благодаря функции бэкапов по расписанию, а также автоматической отправки бэкапов на email-адрес оператора сайта.
Как теперь рассказывают эксперты Wordfence Threat Intelligence, уязвимость позволяла любому вошедшему в систему пользователю (включая пользователей с низкими привилегиями уровня subscriber) загружать резервные копии, сделанные с помощью плагина. Корень проблемы заключался в некорректной проверке пользователей, а также наличия у их необходимых привилегий, которые нужны для доступа nonce-идентификатору резервной копии и временным меткам.
Разумеется, такие бэкапы — это настоящая кладезь конфиденциальных данных, ведь обычно они содержат файлы конфигурации, которые можно использовать для доступа к БД сайта и к ее содержимому.
Уязвимость была обнаружена 14 февраля 2022 года, о чем немедленно уведомили разработчиков UpdraftPlus. Так как патч был выпущен практически сразу, уже 16 февраля 2022 года, оценив потенциальный ущерб от атак на эту уязвимость, специалисты WordPress начали принудительно обновлять все установки плагина до версии 1.22.3. Согласно официальной статистике WordPress, 16 числа было обновлено 783 000 установок плагина, а 17 числа — еще 1,7 миллиона.