WordPress phát hành bản vá cho lỗ hổng nghiêm trọng trong UpdraftPlus

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
613 bài viết
WordPress phát hành bản vá cho lỗ hổng nghiêm trọng trong UpdraftPlus
Các bản vá đã được phát hành để khắc phục lỗ hổng nghiêm trọng trong UpdraftPlus, một plugin WordPress với hơn 3 triệu lượt cài đặt. Lỗ hổng này có thể được sử dụng để tải dữ liệu từ tài khoản cá nhân trên các website.

WordPress-Backup-Plugin.jpg

"Tất cả các phiên bản của UpdraftPlus từ tháng 3/2019 trở đi đều bị ảnh hưởng. Lỗ hổng xuất phát từ việc thiếu kiểm tra cấp quyền, cho phép người dùng không đáng tin cậy truy cập vào các bản sao lưu", hãng cho hay.

Chuyên gia an ninh mạng Marc-Alexandre Montpas của Automattic là người đã phát hiện và báo cáo lỗ hổng vào ngày 14 tháng 2, lỗi được gán mã định danh CVE-2022-0633 (điểm CVSS: 8,5). Sự cố ảnh hưởng đến các phiên bản UpdraftPlus từ 1.16.7 đến 1.22.2.

UpdraftPlus là một giải pháp sao lưu và phục hồi có khả năng thực hiện sao lưu đầy đủ, thủ công hoặc theo lịch trình của các tệp, cơ sở dữ liệu, plugin và chủ đề WordPress, sau đó có thể được khôi phục thông qua bảng điều khiển quản trị WordPress.

Hậu quả dẫn đến là cho phép bất kỳ người dùng đã đăng nhập nào trên bản cài đặt WordPress có cài đặt UpdraftPlus thực hiện đặc quyền tải xuống bản sao lưu hiện có - quyền vốn chỉ dành cho người dùng quản trị.

Ngoài việc rò rỉ mật khẩu và các dữ liệu bí mật khác, nó cũng có thể "trong một số trường hợp sẽ chiếm lấy trang web nếu hacker có thể lấy thông tin đăng nhập cơ sở dữ liệu từ tệp cấu hình và truy cập thành công cơ sở dữ liệu trang web", Wordfence của WordPress cho biết.

Người dùng plugin UpdraftPlus được khuyến nghị cập nhật lên phiên bản 1.22.3 (hoặc 2.22.3 đối với phiên bản Premium) để giảm thiểu nguy cơ bị khai thác. Phiên bản mới nhất có sẵn kể từ ngày 17 tháng 2 là 1.22.4, khắc phục các lỗi liên quan đến việc in các tùy chọn tự động sao lưu trên PHP 8.
Nguồn: The Hacker News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
updraftplus updraftplus date
Bên trên