close

WordPress 強制更新 UpdraftPlus 外掛程式的嚴重資安漏洞

WordPress 日前強制針對裝有 UpdraftPlus 外掛程式的網站進行強制更新,以修補一個嚴重漏洞 CVE-2022-0633,受影響網站超過 300 萬個。

這個漏洞讓網站內容訂閱戶,可以輕易下載網站最新的備份檔案,而在備份檔案中往往會包括許多可資辨識身分的個人資料。

UpdraftPlus 是個可以簡化網站備份與還原流程的 WordPress 外掛程式,可以進行排程備份,也可以將備份檔案自動寄到可信賴的 Email 信箱中。

不過,該漏洞讓任何執行權限的登入用戶,都能利用特製的連結來下載網站的備份檔,藉以竊取網站資料庫中的任何機敏資訊。


這個漏洞由於操作並不困難,因此依 CVSS 危險程度分級列為「高度危險」(high)等級,其危險程度評為為 8.5 分(滿分為 10 分)。

該漏洞是 WordPress 開發廠商 Automattic 旗下的資安研究人員於本(2022)年 2 月 14 日所發現的,並且立即通報給外掛程式開發廠商;開發者很快就完成漏洞修補,WordPress 於 2022 年 2 月 16 日開始強制裝有此外掛程式的三百多萬個 WordPress 網站升級;這在 WordPress 來說是相當罕見的。

UpdraftPlus 存有此漏洞的版本,自 1.16.7 至 1.22.2;開發者推出 1.22.3 與 2.22.3(付費專業版),以修復此漏洞。

UpdraftPlus 開發者在幾天後,又再度推出新版,強化漏洞修補,目前最新版本為 1.22.4;建議所有 UpdraftPlus 用戶,儘速更新到此最新版本。

  • CVE編號:CVE-2022-0633
  • 影響產品(版本):1.16.7 至 1.22.2
  • 解決方案:升級至 1.22.3(付費版為 2.22.3)與後續版本

  • 參考連結

UpdraftPlus security release – 1.22.3 / 2.22.3 – please upgrade

https://updraftplus.com/updraftplus-security-release-1-22-3-2-22-3/

WordPress force installs UpdraftPlus patch on 3 million sites

https://www.bleepingcomputer.com/news/security/wordpress-force-installs-updraftplus-patch-on-3-million-sites/

arrow
arrow

    twcert 發表在 痞客邦 留言(0) 人氣()