UpdraftPlus , плагин, который позволяет пользователям выполнять резервное копирование в различных облачных провайдерах, исправил серьезную уязвимость в системе безопасности, которая позволяла вошедшим в систему пользователям загружать последние резервные копии сайта. Исправленная версия (1.22.3) была разослана посредством принудительного автоматического обновления — меры, предназначенной для серьезных уязвимостей, затрагивающих большое количество пользователей. UpdraftPlus активен на более чем 3 миллионах сайтов WordPress.
Уязвимость была обнаружена исследователем Jetpack Scan Security Марком Монпасом в ходе внутреннего аудита. UpdraftPlus объяснил уязвимость пользователям в бюллетене после выхода обновления:
Этот дефект позволяет любому вошедшему в систему пользователю установки WordPress с активным UpdraftPlus использовать привилегию загрузки существующей резервной копии, привилегию, которая должна была быть ограничена только администраторами. Это стало возможным из-за отсутствия проверки разрешений на код, связанный с проверкой текущего состояния резервной копии. Это позволило получить внутренний идентификатор, который в противном случае был бы неизвестен, и затем его можно было использовать для прохождения проверки при разрешении на загрузку.
Проблема затрагивает как платную, так и бесплатную версии плагина. Исправление было отправлено платным клиентам в течение часа после получения отчета. Каждая версия бесплатного плагина между 1.16.7 и 1.22.3 уязвима. UpdraftPlus утверждает, что большинство сайтов были обновлены. Статистика WordPress.org показывает, что около 35% пользователей Updraft не обновились до последней версии, что оставляет более миллиона установок уязвимыми.
Пока нет подтвержденных сообщений об эксплойтах. Для получения более подробной информации об уязвимости ознакомьтесь с отчетом Montpas на веб-сайте Jetpack. Пользователям UpdraftPlus рекомендуется проверять свои веб-сайты, чтобы убедиться, что подключаемый модуль работает в последней исправленной версии.
Поскольку до крайнего срока соблюдения GDPR ЕС осталось всего 178 дней , многие владельцы сайтов…
Команда Gutenberg создаст станцию тестирования удобства использования в WordCamp US, где посетители смогут принять участие…
Сегодня компания 10up опубликовала предварительную версию своего плагина Distributor , нового решения для синдикации контента…
На этой неделе был выпущен Gutenberg 1.8 с несколькими заметными улучшениями, которые предоставят разработчикам плагинов…
На этой неделе был выпущен Gutenberg 15.5 с новыми функциями и улучшениями возможностей полнофункционального редактирования…
DesktopServer выпустил версию 3.8.4 своего программного обеспечения для локальной разработки. Эта версия включает в себя…