آسیبپذیری شدید در افزونه پشتیبانگیری Updraft Plus
یک آسیبپذیری با شدت بالا در افزونه محبوب Updraft Plus شناسایی شده که به مهاجمان بدون نیاز به احراز هویت اجازه بهرهبرداری از این نقص را میدهد. این آسیبپذیری با امتیاز ۸٫۸ از ۱۰ ارزیابی شده است.
افزونه Updraft Plus: WP Backup & Migration
این آسیبپذیری افزونه Updraft Plus را که در بیش از ۳ میلیون وبسایت نصب شده، تحت تأثیر قرار میدهد. این افزونه قابلیتهای پشتیبانگیری دستی و زمانبندیشده را ارائه میدهد و امکان ذخیره فایلهای پشتیبان در فضای ابری یا ارسال از طریق ایمیل را فراهم میکند.
توضیحات Wordfence
“آسیبپذیری موجود در UpdraftPlus به دلیل تزریق اشیای PHP از طریق ورودی غیرمعتبر در تابع
recursive_unserialized_replace
است. این آسیبپذیری میتواند به مهاجمان اجازه دهد یک شیء PHP تزریق کنند. اگر زنجیره POP از طریق یک افزونه یا پوسته اضافی روی سیستم هدف موجود باشد، مهاجم ممکن است بتواند فایلهای دلخواه را حذف کند، دادههای حساس را بازیابی کند یا کد اجرا کند.”
تغییرات در افزونه Updraft Plus
در لاگ تغییرات رسمی این افزونه، به جای اشاره به یک “وصله امنیتی”، این بروزرسانی تنها بهعنوان یک “تغییر جزئی” ذکر شده است:
“رفع استفاده از تابع
unserialize()
در PHP که میتوانست منجر به نقص امنیتی تئوریک شود.”
توصیهها
- کاربران باید فوراً افزونه را به نسخه ۱٫۲۴٫۱۲ بهروزرسانی کنند.
- تمامی نسخههای قبلی آسیبپذیر هستند و باید جایگزین شوند.
- talahost.com
Shortlink for this post: https://blog.talahost.com/?p=1345