آسیب‌پذیری خطرناک در افزونه UpdraftPlus وردپرس با بیش از سه‌میلیون نصب یافت شد

چندی پیش، آسیب‌پذیری‌ای جدی در افزونه وردپرس UpdraftPlus با بیش از سه‌میلیون نصب پیدا شد. به‌گزارش techgenyz، محقق امنیتی Jetpack آسیب‌پذیری دانلود نسخه پشتیبان را کشف کرد که می‌توانست به کاربران با حداقل دسترسی مانند دنبال‌کنندگان اجازه دهد آخرین نسخه‌های پشتیبان سایت را دانلود کنند.

او توضیح داد که درصورت سوءاستفاده، این آسیب‌پذیری می‌توانست به مهاجمان اجازه دهد تا به اطلاعات مهم از پایگاه داده سایت آسیب‌دیده مانند نام‌های کاربری و رمزهای عبور هش‌شده دسترسی داشته باشند.

مونپاس گفت: «ما این آسیب‌پذیری را به نویسندگان افزونه گزارش کردیم و آن‌ها اخیراً نسخه ۱.۲۲.۳ را برای رفع آن منتشر کرده‌اند. به‌روزرسانی‌های خودکار اجباری نیز به‌دلیل شدت این مشکل زیر فشار قرار گرفته‌اند.» دیوید اندرسون، توسعه‌دهنده‌ی اصلی افزونه UpdraftPlus، گفت که آن‌ها گزارش نقص امنیتی را از مونپاس در ۱۵ فوریه دریافت کردند.

تیم هوش تهدید (Threat Intelligence) افزونه Wordfence توضیح داد که پشتیبان‌گیری‌ها گنجینه‌ای از اطلاعات حساس و اغلب شامل فایل‌های پیکربندی هستند که می‌توان از آن‌ها برای دسترسی به پایگاه داده سایت و همچنین محتوای خود پایگاه داده استفاده کرد.

مقاله‌ی مرتبط:آسیب پذیری خطرناک File Manager وردپرس هزاران وب‌سایت را متأثر می‌کند

UpdraftPlus افزونه پشتیبان‌گیری محبوبی برای وب‌سایت‌های وردپرسی است که به شما امکان دانلود نسخه‌های پشتیبان را می‌دهد. یکی از ویژگی‌هایی که این افزونه پیاده‌سازی کرد، امکان ارسال لینک‌های دانلود پشتیبان به ایمیل انتخابی صاحب سایت بود. متأسفانه این عملکرد به‌طور ناامن اجرا شد.

Wordfence گفت: «ما از تمام کاربرانی که پلاگین UpdraftPlus را اجرا می‌کنند، می‌خواهیم تا در اسرع وقت به آخرین نسخه (۱.۲۲.۳) این افزونه را به‌روزرسانی کنند؛ زیرا عواقب سوءاستفاده آن بسیار شدید خواهد بود.»

آسیب‌پذیری خطرناکی به کاربران با حداقل دسترسی اجازه می‌داد تا آخرین نسخه‌های پشتیبان سایت را دانلود کنند. اخیراً در نسخه‌ی جدید این مشکل برطرف شده است.