Уязвимость в популярном плагине для WordPress позволяла делать бэкапы сайтов

Уязвимость в популярном плагине для WordPress позволяла делать бэкапы сайтов

Поделиться

По данным Wordfence, в популярном плагине UpdraftPlus была обнаружена критическая уязвимость, разрешавшая любому пользователю загрузить на свое устройство резервную копию данных сайта.

Брешь в безопасности расширения обнаружил Марк Монпас, специализирующийся на поиске ошибок в программном обеспечении. Он нашел способ выгрузить с сайта всю информацию, хранящуюся в бэкапах, при помощи UpdraftPlus, при этом не имея привилегий администратора.

Фактически, любой зарегистрированный пользователь мог получить доступ к резервным копиям, в которых, в свою очередь, хранится огромное количество персональных данных, конфигурация сайта и т.п. Поэтому степень серьезности последствий от атаки на UpdraftPlus сильно зависит от того, что именно администрация ресурса хранит в бэкапах.

Плагин UpdraftPlus

Уязвимость считается крайне значимой (8,5 баллов по шкале CVSS) не только потому, что позволяет подобраться к конфиденциальной информации любому желающему, но и из-за популярности UpdraftPlus. У расширения более 3 миллионов установок на официальном сайте WordPress.

Специалисты по безопасности рекомендуют оперативно обновить UpdraftPlus до последней исправленной версии 1.22.3, а разработчики плагина опубликовали в блоге новость, где рассказали про обнаруженную уязвимость.

Добавить комментарий

Ваш адрес электронной почты не будет опубликован. Обязательные поля помечены *