آسیبپذیری خطرناکی به کاربران با حداقل دسترسی اجازه میداد تا آخرین نسخههای پشتیبان سایت را دانلود کنند. اخیراً در نسخهی جدید این مشکل برطرف شده است.
چندی پیش، آسیبپذیریای جدی در افزونه وردپرس UpdraftPlus با بیش از سهمیلیون نصب پیدا شد. بهگزارش techgenyz، محقق امنیتی Jetpack آسیبپذیری دانلود نسخه پشتیبان را کشف کرد که میتوانست به کاربران با حداقل دسترسی مانند دنبالکنندگان اجازه دهد آخرین نسخههای پشتیبان سایت را دانلود کنند.
او توضیح داد که درصورت سوءاستفاده، این آسیبپذیری میتوانست به مهاجمان اجازه دهد تا به اطلاعات مهم از پایگاه داده سایت آسیبدیده مانند نامهای کاربری و رمزهای عبور هششده دسترسی داشته باشند.
مونپاس گفت: «ما این آسیبپذیری را به نویسندگان افزونه گزارش کردیم و آنها اخیراً نسخه ۱.۲۲.۳ را برای رفع آن منتشر کردهاند. بهروزرسانیهای خودکار اجباری نیز بهدلیل شدت این مشکل زیر فشار قرار گرفتهاند.» دیوید اندرسون، توسعهدهندهی اصلی افزونه UpdraftPlus، گفت که آنها گزارش نقص امنیتی را از مونپاس در ۱۵ فوریه دریافت کردند.
تیم هوش تهدید (Threat Intelligence) افزونه Wordfence توضیح داد که پشتیبانگیریها گنجینهای از اطلاعات حساس و اغلب شامل فایلهای پیکربندی هستند که میتوان از آنها برای دسترسی به پایگاه داده سایت و همچنین محتوای خود پایگاه داده استفاده کرد.
UpdraftPlus افزونه پشتیبانگیری محبوبی برای وبسایتهای وردپرسی است که به شما امکان دانلود نسخههای پشتیبان را میدهد. یکی از ویژگیهایی که این افزونه پیادهسازی کرد، امکان ارسال لینکهای دانلود پشتیبان به ایمیل انتخابی صاحب سایت بود. متأسفانه این عملکرد بهطور ناامن اجرا شد.
Wordfence گفت: «ما از تمام کاربرانی که پلاگین UpdraftPlus را اجرا میکنند، میخواهیم تا در اسرع وقت به آخرین نسخه (۱.۲۲.۳) این افزونه را بهروزرسانی کنند؛ زیرا عواقب سوءاستفاده آن بسیار شدید خواهد بود.»