|

Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin

  

 

Εκατομμύρια ιστότοποι του WordPress έλαβαν μια αναγκαστική ενημέρωση για να διορθώσουν μια κρίσιμη ευπάθεια σε ένα πρόσθετο που ονομάζεται UpdraftPlus.

Η υποχρεωτική επιδιόρθωση ήρθε κατόπιν αιτήματος των προγραμματιστών του UpdraftPlus λόγω της σοβαρότητας της ευπάθειας, η οποία επιτρέπει σε μη αξιόπιστους συνδρομητές, πελάτες και άλλους να κατεβάζουν την ιδιωτική βάση δεδομένων του ιστότοπου, εφόσον έχουν λογαριασμό στον ευάλωτο ιστότοπο. Οι βάσεις δεδομένων συχνά περιλαμβάνουν ευαίσθητες πληροφορίες σχετικά με τους πελάτες ή τις ρυθμίσεις ασφαλείας του ιστότοπου, με αποτέλεσμα εκατομμύρια ιστότοποι να είναι ευάλωτοι σε σοβαρές παραβιάσεις δεδομένων που διαρρέουν κωδικούς πρόσβασης, ονόματα χρηστών, διευθύνσεις IP και πολλά άλλα.

Το UpdraftPlus απλοποιεί τη διαδικασία δημιουργίας αντιγράφων ασφαλείας και αποκατάστασης βάσεων δεδομένων ιστότοπων και είναι το πιο ευρέως χρησιμοποιούμενο πρόσθετο για προγραμματισμένα αντίγραφα ασφαλείας στο Διαδίκτυο για το σύστημα διαχείρισης περιεχομένου WordPress. Εξορθολογίζει τη δημιουργία αντιγράφων ασφαλείας δεδομένων στο Dropbox, το Google Drive, το Amazon S3 και άλλες υπηρεσίες cloud. 

Οι προγραμματιστές του λένε ότι επιτρέπει επίσης στους χρήστες να προγραμματίζουν τακτικά αντίγραφα ασφαλείας και είναι ταχύτερο και χρησιμοποιεί λιγότερους πόρους διακομιστή από τα ανταγωνιστικά πρόσθετα WordPress."Αυτό το σφάλμα είναι αρκετά εύκολο να αξιοποιηθεί, με κάποια πολύ άσχημα αποτελέσματα αν αξιοποιηθεί", δήλωσε ο Marc Montpas, ο ερευνητής ασφαλείας που ανακάλυψε την ευπάθεια και την ανέφερε ιδιωτικά στους προγραμματιστές του πρόσθετου. "Κατέστησε δυνατό για χρήστες με χαμηλό προνόμιο να κατεβάσουν τα αντίγραφα ασφαλείας ενός ιστότοπου, τα οποία περιλαμβάνουν ακατέργαστα αντίγραφα ασφαλείας της βάσης δεδομένων. Οι λογαριασμοί με χαμηλά δικαιώματα θα μπορούσαν να σημαίνουν πολλά πράγματα. Τακτικοί συνδρομητές, πελάτες (σε ιστότοπους ηλεκτρονικού εμπορίου, για παράδειγμα) κ.λπ.Ο Montpas, ερευνητής στην εταιρεία ασφάλειας ιστότοπων Jetpack Scan, δήλωσε ότι βρήκε την ευπάθεια κατά τη διάρκεια ενός ελέγχου ασφαλείας του πρόσθετου και παρείχε λεπτομέρειες στους προγραμματιστές του UpdraftPlus την Τρίτη. Μια ημέρα αργότερα, οι προγραμματιστές δημοσίευσαν μια διόρθωση και συμφώνησαν να την εγκαταστήσουν με τη βία σε ιστότοπους WordPress που είχαν εγκατεστημένο το πρόσθετο.

Τα στατιστικά στοιχεία που παρέχονται από το WordPress.org δείχνουν ότι 1,7 εκατομμύρια ιστότοποι έλαβαν την ενημέρωση την Πέμπτη και περισσότεροι από επιπλέον 287.000 την είχαν εγκαταστήσει μέχρι την ώρα του Τύπου. Το WordPress αναφέρει ότι το πρόσθετο έχει 3+ εκατομμύρια χρήστες.

[via]