አደገኛ ተጋላጭነት (CVE-3-2022) በ UpdraftPlus WordPress add-on ውስጥ ተለይቷል ከ 0633 ሚሊዮን በላይ ንቁ ጭነቶች ያሉት ፣ የሶስተኛ ወገን ተጠቃሚ የጣቢያውን የውሂብ ጎታ ቅጂ እንዲያወርድ ያስችለዋል ፣ ይህም በተጨማሪ ፣ ይዘት, የሁሉንም ተጠቃሚዎች መለኪያዎች እና የይለፍ ቃል hashes ይዟል. ችግሩ በተለቀቁት 1.22.3 እና 2.22.3 ውስጥ ተፈቷል፣ ይህም ሁሉም UpdraftPlus ተጠቃሚዎች በተቻለ ፍጥነት እንዲጭኑ ይመከራል።
UpdraftPlus በዎርድፕረስ ፕላትፎርም ላይ የሚሰሩ የጣቢያዎች ምትኬዎችን ለመፍጠር በጣም ታዋቂው ማከያ ተብሎ ይገመታል። በመዳረሻ መብቶች ላይ ትክክል ባልሆነ ፍተሻ ምክንያት ተጨማሪው የጣቢያው ምትኬ ቅጂ እና ተዛማጅ ዳታቤዙን ለአስተዳዳሪዎች ብቻ ሳይሆን በጣቢያው ላይ የተመዘገበ ማንኛውም ተጠቃሚ ለምሳሌ የተመዝጋቢ ሁኔታን እንዲያወርድ ፈቅዷል።
ምትኬዎችን ወደ UpdraftPlus ለመጫን፣ መጠባበቂያው በተፈጠረበት ጊዜ እና በዘፈቀደ ቅደም ተከተል (ምንም) ላይ በመመስረት የሚፈጠር መለያ ጥቅም ላይ ይውላል። ችግሩ በዎርድፕረስ የልብ ምት ጥያቄ ተቆጣጣሪው ውስጥ ትክክለኛ ፍተሻዎች ባለመኖሩ በልዩ ሁኔታ የተነደፈ ጥያቄን በመጠቀም ማንኛውም ተጠቃሚ ስለ የቅርብ ጊዜ ምትኬ መረጃ ማግኘት ይችላል ፣ ይህም ስለ ጊዜ እና ተዛማጅ የዘፈቀደ ቅደም ተከተል መረጃን ያጠቃልላል።
በመቀጠል፣ በተቀበለው መረጃ ላይ በመመስረት መለያ ማመንጨት እና የማውረድ ዘዴን በኢሜል በመጠቀም የመጠባበቂያ ቅጂ ማውረድ ይችላሉ። በዚህ ዘዴ ጥቅም ላይ የዋለው ምናልባት_download_backup_from_email ተግባር ለአስተዳዳሪው ብቻ ተደራሽ የሆነውን የአማራጮች-general.php ገጽን ማግኘት ይፈልጋል። ነገር ግን፣ አጥቂ በቼኩ ውስጥ ጥቅም ላይ የዋለውን የ$pagenow ተለዋዋጭ በማጭበርበር እና ጥያቄን በአገልግሎት ገፅ በኩል በመላክ ያልተፈቀደ ተጠቃሚ ይህንን ገደብ ማለፍ ይችላል። ለምሳሌ፣ ለአስተዳዳሪው መልእክት ለመላክ በገጹ በኩል ማግኘት ትችላለህ ጥያቄን በ‹wp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus ” በማለት ተናግሯል።
ምንጭ: opennet.ru
