Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin

**nnn** · 19-02-22, 11:00

Εκατομμύρια ιστότοποι του WordPress έλαβαν μια αναγκαστική ενημέρωση για να διορθώσουν μια κρίσιμη ευπάθεια σε ένα πρόσθετο που ονομάζεται UpdraftPlus.

Η υποχρεωτική επιδιόρθωση ήρθε κατόπιν αιτήματος των προγραμματιστών του UpdraftPlus λόγω της σοβαρότητας της ευπάθειας, η οποία επιτρέπει σε μη αξιόπιστους συνδρομητές, πελάτες και άλλους να κατεβάζουν την ιδιωτική βάση δεδομένων του ιστότοπου, εφόσον έχουν λογαριασμό στον ευάλωτο ιστότοπο. Οι βάσεις δεδομένων συχνά περιλαμβάνουν ευαίσθητες πληροφορίες σχετικά με τους πελάτες ή τις ρυθμίσεις ασφαλείας του ιστότοπου, με αποτέλεσμα εκατομμύρια ιστότοποι να είναι ευάλωτοι σε σοβαρές παραβιάσεις δεδομένων που διαρρέουν κωδικούς πρόσβασης, ονόματα χρηστών, διευθύνσεις IP και πολλά άλλα.

Το UpdraftPlus απλοποιεί τη διαδικασία δημιουργίας αντιγράφων ασφαλείας και αποκατάστασης βάσεων δεδομένων ιστότοπων και είναι το πιο ευρέως χρησιμοποιούμενο πρόσθετο για προγραμματισμένα αντίγραφα ασφαλείας στο Διαδίκτυο για το σύστημα διαχείρισης περιεχομένου WordPress. Εξορθολογίζει τη δημιουργία αντιγράφων ασφαλείας δεδομένων στο Dropbox, το Google Drive, το Amazon S3 και άλλες υπηρεσίες cloud. Οι προγραμματιστές του λένε ότι επιτρέπει επίσης στους χρήστες να προγραμματίζουν τακτικά αντίγραφα ασφαλείας και είναι ταχύτερο και χρησιμοποιεί λιγότερους πόρους διακομιστή από τα ανταγωνιστικά πρόσθετα WordPress.

"Αυτό το σφάλμα είναι αρκετά εύκολο να αξιοποιηθεί, με κάποια πολύ άσχημα αποτελέσματα αν αξιοποιηθεί", δήλωσε ο Marc Montpas, ο ερευνητής ασφαλείας που ανακάλυψε την ευπάθεια και την ανέφερε ιδιωτικά στους προγραμματιστές του πρόσθετου. "Κατέστησε δυνατό για χρήστες με χαμηλό προνόμιο να κατεβάσουν τα αντίγραφα ασφαλείας ενός ιστότοπου, τα οποία περιλαμβάνουν ακατέργαστα αντίγραφα ασφαλείας της βάσης δεδομένων. Οι λογαριασμοί με χαμηλά δικαιώματα θα μπορούσαν να σημαίνουν πολλά πράγματα. Τακτικοί συνδρομητές, πελάτες (σε ιστότοπους ηλεκτρονικού εμπορίου, για παράδειγμα) κ.λπ."

Ο Montpas, ερευνητής στην εταιρεία ασφάλειας ιστότοπων Jetpack Scan, δήλωσε ότι βρήκε την ευπάθεια κατά τη διάρκεια ενός ελέγχου ασφαλείας του πρόσθετου και παρείχε λεπτομέρειες στους προγραμματιστές του UpdraftPlus την Τρίτη. Μια ημέρα αργότερα, οι προγραμματιστές δημοσίευσαν μια διόρθωση και συμφώνησαν να την εγκαταστήσουν με τη βία σε ιστότοπους WordPress που είχαν εγκατεστημένο το πρόσθετο.

Τα στατιστικά στοιχεία που παρέχονται από το WordPress.org δείχνουν ότι 1,7 εκατομμύρια ιστότοποι έλαβαν την ενημέρωση την Πέμπτη και περισσότεροι από επιπλέον 287.000 την είχαν εγκαταστήσει μέχρι την ώρα του Τύπου. Το WordPress αναφέρει ότι το πρόσθετο έχει 3+ εκατομμύρια χρήστες.

Translated with www.DeepL.com/Translator (free version)

Πηγή : ArsTechnica

**~~Parrot~~** · 19-02-22, 11:15

Απλά έλεος ....

**Zus** · 19-02-22, 11:28

Παίζει μέρα παρά μέρα να διαβάζουμε για WordPress ευπάθειες.

**~~aiolos.01~~** · 19-02-22, 19:47

Πιο σοβαρό δε γίνεται...

**x_undefined** · 19-02-22, 19:50

Αρχικό μήνυμα από Zus

Παίζει μέρα παρά μέρα να διαβάζουμε για WordPress ευπάθειες.

3rd party plugin αφορά το συγκεκριμένο.

**Zus** · 19-02-22, 19:51

Το WP βασίζεται πολύ στα plugins ή θυμάμαι λάθος?

**x_undefined** · 19-02-22, 19:52

Βασίζεται, όπως και τα Windows βασίζονται στις εφαρμογές, αλλά δεν μπορούμε να λέμε για καθημερινές ευπάθειες των Windows.

**Zus** · 19-02-22, 19:54

Αρχικό μήνυμα από x_undefined

Βασίζεται, όπως και τα Windows βασίζονται στις εφαρμογές, αλλά δεν μπορούμε να λέμε για καθημερινές ευπάθειες των Windows.

Μπορεί να υπερέβαλα

**NikitasKOn** · 21-02-22, 14:15

Ένα πρόβλημα το wordpress

**spiz** · 21-02-22, 16:33

Πρόλαβα και ξήλωσα, πριν ένα μήνα, το UpdraftPlus απ' όλα τα site που το χρησιμοποιούσα και πέρασα σε άλλη paid λύση αυτή τη φορά. Δεν είχα την τύχη να δω αυτό το force update να συμβαίνει (για πρώτη φορά!) στις WP εγκαταστάσεις μου...

**jap** · 21-02-22, 18:55

Για πες, έτσι από περιέργεια, σε ποια λύση πήγες;

Εγώ προτιμώ που το ενημέρωσαν με το έτσι θέλω (η δυνατότητα είναι στο wordpress βέβαια) παρά το ανελέητο σπαμάρισμα που κάνουν οι κάτοχοι άλλων plugins, π.χ. το iThemes. Αν έχεις κάποια πρόταση δοκιμασμένη και για security και για backup (πλην του AIO

) είμαι όλος αυτιά.

Και με τις προϋποθέσεις που είχε για να λειτουργήσει το vulnerability θεωρώ ότι υπήρχαν μηδαμινές πιθανότητες να παραβιαστούν 'απλά' site.

**spiz** · 21-02-22, 22:22

Αρχικό μήνυμα από jap

Για πες, έτσι από περιέργεια, σε ποια λύση πήγες;

Duplicator Pro. Είναι Migration & Backup plugin.

**jap** · 22-02-22, 00:07

Στα υπόψη.

**villager** · 22-02-22, 15:57

Αρχικό μήνυμα από spiz

Duplicator Pro. Είναι Migration & Backup plugin.

Υπόψη https://securityaffairs.co/wordpress...n-attacks.html

Κάθε plug in έχει τα δικά του κατά καιρούς. Μόνο ο τι χρειάζεται, τα υπόλοιπα uninstall όχι deactivated!

Θέμα: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές