Milioni di siti WordPress hanno ricevuto una patch forzata negli ultimi giorni, il motivo è una vulnerabilità in UpdraftPlus , un popolare plug-in che consente agli utenti di creare e ripristinare i backup dei siti Web.
Gli sviluppatori di UpdraftPlus hanno richiesto la patch obbligatoria, poiché la vulnerabilità consentirebbe a chiunque disponga di un account di scaricare l’intero database di un sito Web.
Il bug è stato scoperto dal ricercatore di sicurezza di Jetpack Marc Montpas durante un audit di sicurezza del plugin. “Questo bug è abbastanza facile da sfruttare, con alcuni pessimi risultati se viene sfruttato”, ha detto ad Ars Technica . “Ha consentito agli utenti con privilegi bassi di scaricare i backup di un sito, che includono backup di database non elaborati”.
Ha detto agli sviluppatori di UpdraftPlus del bug martedì della scorsa settimana, lo hanno corretto il giorno dopo e hanno iniziato a installare la patch poco dopo. 1,7 milioni di siti lo avevano ricevuto giovedì, su oltre 3 milioni di utenti.
Il difetto principale era che UpdraftPlus non implementava correttamente la funzione “Hearbeat” di WordPress controllando correttamente se gli utenti disponevano dei privilegi di amministratore. Un altro problema era una variabile utilizzata per convalidare gli amministratori che potevano essere modificati da utenti non attendibili. Jetpack ha fornito maggiori dettagli su come un hack potrebbe funzionare in un post sul blog .
WordPress è stato violato in precedenza all’inizio di quest’anno, ma è stato fatto indirettamente tramite un hack di GoDaddy che ha esposto 1,2 milioni di account. Se stai utilizzando WordPress con il plug-in UpdraftPlus, dovresti assolutamente confermare che il plug-in si sia aggiornato automaticamente alla versione 1.22.4 o successiva nella versione gratuita, o 2.22.4 e successive nell’app premium.