אודות המחבר Dean
שמי דין חלק מתחביביי, הם ציור, עריכת ווידיאו ובדיקות QA עבור חלק מבתי התוכנה הגדולים ביותר עבור ספקי אחסון אתרים.
כפי שכותרת המאמר אומר, התגלה חור אבטחה קריטי שהתגלה בתוסף Updraft Plus גם הן בגירסה החינמית והן בגרסה בתשלום אשר משמש למעלה משלוש מיליון התקנות פעילות בוורדפרס.
התוסף UpdraftPlus, בעל למעלה מ3 מיליון התקנות פעילות, סובל מפגיעות קריטית שהתגלתה. הפגעה אינה מאמתת כראוי שלמשתמש יש את ההרשאות הנדרשות לגשת למזהה הלא-נפרד של גיבוי, מה שעשוי לאפשר לכל משתמש עם חשבון באתר (כגון מנוי) להוריד את הגיבוי העדכני ביותר של האתר ומסד הנתונים.
התוסף מתואר כתוסף שמאפשר ליצור גיבוי בקלות לאתר.
הפגיעות המתוארת תוקנה בגרסה 1.22.3 ומעלה, כך שבאם הנכם משתמשים בתוסף בגרסה נמוכה מזאת מומלץ לעדכן זאת.
ברצוננו להבהיר שלא אנו גילינו במקור את הפגיעות הזו. דיווח עליה גם למפתח התוסף באמצעות WPScan וjetpack.
פגם זה מאפשר לכל משתמש מחובר בהתקנת וורדפרס עם UpdraftPlus פעיל לממש את ההרשאה של הורדת גיבוי קיים, הרשאה שהייתה צריכה להיות מוגבלת למשתמשים ניהוליים בלבד. זה היה אפשרי בגלל בדיקת הרשאות חסרות בקוד הקשור לבדיקת מצב הגיבוי הנוכחי.
זה אפשר להשיג מזהה פנימי שלא היה ידוע אחרת, ולאחר מכן ניתן היה להשתמש בו כדי להעביר בדיקה עם אישור הורדה.
זה אומר שאם אתר וורדפרס שלך מאפשר למשתמשים לא מהימנים לקבל התחברות לוורדפרס, ואם יש לך גיבוי קיים, אז אתה עלול להיות פגיע למשתמש מיומן טכנית שיבין כיצד להוריד את הגיבוי הקיים. האתרים המושפעים נמצאים בסיכון לאובדן נתונים / גניבת נתונים באמצעות התוקף הניגש לעותק של הגיבוי של האתר שלך, אם האתר שלך מכיל משהו שאינו ציבורי. אנו אומרים "מיומן טכני", כי בשלב זה, לא הוכחה פומבית כיצד למנף את הניצול הזה עם זאת, אתה בהחלט לא צריך להסתמך על זה לוקח הרבה זמן, אבל צריך לעדכן מיד.
אם אתה המשתמש היחיד באתר הוורדפרס שלך, או אם כל המשתמשים שלך מהימנים, אז אתה לא פגיע, אבל אנחנו עדיין ממליצים לעדכן בכל מקרה.
מידע זה מתפרסם כעת לאחר שגירסאות מעודכנות ומאובטחות של UpdraftPlus הפכו לזמינות. במהלך הזמן הזה, רוב האתרים עודכנו.
ההשפעה היא לאתרים המשתמשים בתוסף UpdraftPlus מתחת לגרסה 1.22.3
חומת האש של Imunify360 כבר הוסיפה היום(20.2.22) את החוקים לWAF שלהם על מנת להגביר את האבטחה ממקרה זה.
הוציאו עדכון לWAF בגרסה WAF Rules v.4.49 -
אנחנו במייהוסט אחסון אתרים, שמחים לסייע להגברת האתרים המאוחסנים בשרתינו.
בכל אופן אנו ממליצים ואף נדרש לבצע עדכון לתוסף על מנת למנוע חורי אבטחה מוסתרים נוספים אשר יכולים להיות קיימים בגרסאות הישנות של התוסף ולמנוע סיכון של איבוד או דליפת מידע.
אך אנו קוראים לכל לקוחותינו לעדכן אם הם עדיין לא עשו זאת. את התוסף UpdraftPlus ולא להסתמך רק על הWAF שלנו למקרה זה.
שמי דין חלק מתחביביי, הם ציור, עריכת ווידיאו ובדיקות QA עבור חלק מבתי התוכנה הגדולים ביותר עבור ספקי אחסון אתרים.
למה צריך תעודת SSL? מהם היתרונות של שימוש בתעודת SSL? אבטחה תמיד הייתה גורם חשוב לדאגה בעת הגלישה באינטרנט. במשך זמן רב, האינטרנט נחשב למערב פרוע דיגיטלי: כל אדם היה צריך להשגיח על עצמם והיו מעט...
בחודש בספטמבר התגלתה פריצת וורדפרס עם דף קלאודפלייר מזוייף כאמצעי פישיינג, זיהינו קמפיין פריצה זדוני זה עבור במיוחד עבור אתרי וורדפרס. היה ברור שהתוקפים שגילינו השתמשו בטכניקות...
וורדפרס היא מערכת ניהול תוכן פופלרית מאוד בישראל ובעולם, עם זאת, עם המצוינות עדיין מגיע מקום לטעויות. אנו במייהוסט דואגה לתכונות אבטחה משופרת עבור אחסון וורדפרס מנוהל....