Sicherheitsforscher von Automattic und Wordfence haben einen ziemlich kritischen Sicherheitsfehler in UpdraftPlus, einem beliebten WordPress-Plugin, beschrieben.
Forscher stellten fest, dass dieser Fehler dazu führen kann, dass ein Benutzer mit eingeschränkten Privilegien Backups einer Site herunterlädt und die darin enthaltenen vertraulichen Daten stiehlt. Die Macher von UpdraftPlus haben einen Patch veröffentlicht und die Site-Administratoren aufgefordert, diesen anzuwenden.
Sicherheitslücke im UpdraftPlus-Plugin
UpdraftPlus, ein WordPress-Plugin zum Erstellen, Wiederherstellen und Migrieren von Backups, ist mittlerweile zu einer Bedrohung für Millionen von Websites geworden, die darauf angewiesen sind. Dies liegt an einer darin gefundenen Sicherheitslücke, die es einem qualifizierten Angreifer ermöglichen kann, den Daten der Site ernsthaften Schaden zuzufügen.
Wie Forscher bei Automattic (Muttergesellschaft von WordPress.com) und Wordfence (einem Sicherheitsunternehmen) geschrieben haben, ermöglicht der Fehler in UpdraftPlus einem eingeschränkten Angreifer (jemand mit grundlegendem Benutzerzugriff auf die Zielseite) das Herunterladen der Sicherungsdateien. Dies ist nur Benutzern der Site mit Administratorrechten möglich.
Dies wurde später auch vom UpdraftPlus-Team in einem Sicherheitsbulletin bestätigt. Auf seiner Website behauptet UpdraftPlus, dass das Plugin auf über drei Millionen WordPress-Websites läuft, darunter Microsoft, Cisco und die NASA! Und mit dem Schweregrad (8,5/10) wird die als CVE-2022-0633 eingestufte Bedrohung als ziemlich ernste Bedrohung angesehen.
Das eigentliche Problem soll im Validierungsmechanismus des UpdraftPlus-Systems liegen, da es nicht erkennt, wer Backups anfordert. Und es wird als WordPress Heartbeat-Funktionvon Wordfence-Forschern.
Ein Angreifer muss lediglich Dadurch erhält der Angreifer Zugriff auf ein Backup-Protokoll, das alle sensiblen Daten enthält, die auf der Site gespeichert sind.. Dies kann in erster Linie für Identitätsdiebstahl (im Falle von PII) oder andere böswillige Angriffe verwendet werden.
Das UpdraftPlus-Team hat am Mittwoch einen Patch hierfür in den Plug-In-Versionen 1.22.3 (kostenlos) und 2.22.3 (kostenpflichtig) veröffentlicht und fordert die Site-Administratoren dringend auf, die Aktualisierung so schnell wie möglich durchzuführen.
