UpdraftPlus: frissítés kikényszerítve

Editors' Pick

A gyakori WordPress bővítmény, az UpdraftPlus sérülékenysége került nyilvánosságra, amit több mint 3 millió honlap használ jelenleg. A sérülékenység lehetővé tette, hogy az oldalról olyanok is letöltsék az utolsó adatbázis-mentéseket, akik nem voltak jogosultak rá, így egyszerű felhasználók is. Az ilyen mentések gyakran tartalmaznak hitelesítő vagy személyes adatokat.

A sérülékenység és a CVE-2022-0633 számon követhető, a CVSS skálán 8,5-ös pontszámot ért el.

Az UpdraftPlus WordPress bővítmény ingyenes, automatikus mentést biztosít a honlapüzemeltetőknek. A sérülékenység az UpdraftPlus 1.16.7-től 1.22.2-ig terjedő verzióit érinti, és a fejlesztők a (fizetős) Premium verzió 1.22.3-as vagy 2.22.3-as kiadásával javították ki.

A hibát 2022. február 14-én fedezték fel, és az UpdraftPlus-t azonnal értesítették. A fejlesztők szinte azonnal reagáltak és 2022. február 16-án a WordPress megkezdte a frissítés telepítésének kikényszerítését az 1.22.3-as verzióra. A bővítmény WordPress letöltési statisztikái szerint 783 000 telepítést frissítettek 16-án, és további 1,7 milliót 17-én. A sérülékenység nem jelent kockázatot azoknál a weboldalaknál, ahol nem támogatott a felhasználói bejelentkezés, vagy nem tárolnak biztonsági másolatot.

FORRÁS