Misy vulnerability mampidi-doza (CVE-3-2022) hita ao amin'ny UpdraftPlus WordPress add-on, izay manana fametrahana mavitrika maherin'ny 0633 tapitrisa, ahafahan'ny mpampiasa antoko fahatelo misintona dika mitovy amin'ny tranokalan'ny tranokala, izay, ankoatra ny atiny, ahitana ny mason'ny mpampiasa rehetra sy ny tenimiafina hashes. Ny olana dia voavaha amin'ny famoahana 1.22.3 sy 2.22.3, izay atolotra ho an'ny mpampiasa UpdraftPlus rehetra hametraka haingana araka izay azo atao.
UpdraftPlus dia heverina ho toy ny add-on malaza indrindra amin'ny famoronana backups amin'ny tranokala mandeha amin'ny sehatra WordPress. Noho ny fanamarinana diso ny zo fidirana, ny add-on dia namela ny fampidinana kopia backup an'ny tranokala sy ny angon-drakitra mifandraika tsy ho an'ny mpitantana ihany, fa ho an'ny mpampiasa rehetra voasoratra ao amin'ny tranokala, ohatra, miaraka amin'ny satan'ny mpanjifa.
Mba hampidirana ny backup ao amin'ny UpdraftPlus, dia misy identifika ampiasaina mifototra amin'ny fotoana namoronana ny backup sy ny filaharana kisendrasendra (tsy misy). Ny olana dia noho ny tsy fisian'ny fisavana araka ny tokony ho izy ao amin'ny mpandrindra fangatahana fitepon'ny fo WordPress, amin'ny fampiasana fangatahana natao manokana, ny mpampiasa rehetra dia afaka mahazo fampahalalana momba ny backup farany, izay ahitana fampahalalana momba ny fotoana sy ny filaharana kisendrasendra mifandray.
Avy eo, mifototra amin'ny fampahalalana voaray, azonao atao ny mamorona famantarana ary misintona kopia backup amin'ny alΓ lan'ny fomba fampidinana amin'ny mailaka. Ny fiasan'ny maybe_download_backup_from_email ampiasaina amin'ity fomba ity dia mitaky fidirana amin'ny pejy options-general.php, izay tsy azon'ny administratera ihany. Na izany aza, ny mpanafika dia afaka mandingana an'io famerana io amin'ny alΓ lan'ny fanodikodinana ny fari-pahaizan'ny $pagenow ampiasaina amin'ny fanamarinana ary mandefa fangatahana amin'ny alΓ lan'ny pejy serivisy ahafahan'ireo mpampiasa tsy manana tombontsoa. Ohatra, azonao atao ny mifandray amin'ny alΓ lan'ny pejy handefasana hafatra amin'ny mpitantana amin'ny fandefasana fangatahana amin'ny endrika βwp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus β.
Source: opennet.ru