සක්රීය ස්ථාපනයන් මිලියන 3කට වඩා ඇති UpdraftPlus WordPress ඇඩෝනය තුළ භයානක අවදානමක් (CVE-2022-0633) හඳුනාගෙන ඇති අතර, තෙවන පාර්ශවීය පරිශීලකයෙකුට වෙබ් අඩවියේ දත්ත සමුදායේ පිටපතක් බාගත කිරීමට ඉඩ සලසයි. අන්තර්ගතය, සියලුම පරිශීලකයින්ගේ පරාමිතීන් සහ මුරපද හැෂ් අඩංගු වේ. 1.22.3 සහ 2.22.3 නිකුතු තුළ ගැටළුව විසඳා ඇත, එය සියලුම UpdraftPlus පරිශීලකයින්ට හැකි ඉක්මනින් ස්ථාපනය කිරීමට නිර්දේශ කෙරේ.
UpdraftPlus වර්ඩ්ප්රෙස් වේදිකාවේ ක්රියාත්මක වන අඩවි වල උපස්ථ සෑදීම සඳහා වඩාත් ජනප්රිය ඇඩෝනය ලෙස හුවා දක්වයි. ප්රවේශ අයිතිවාසිකම් වැරදි ලෙස පරීක්ෂා කිරීම හේතුවෙන්, ඇඩෝනය මඟින් වෙබ් අඩවියේ උපස්ථ පිටපතක් සහ ඒ ආශ්රිත දත්ත සමුදාය පරිපාලකයින්ට පමණක් නොව, වෙබ් අඩවියේ ලියාපදිංචි වී ඇති ඕනෑම පරිශීලකයෙකුට බාගත කිරීමට අවසර දී ඇත, උදාහරණයක් ලෙස, ග්රාහක තත්ත්වය සමඟ.
UpdraftPlus වෙත උපස්ථ පූරණය කිරීම සඳහා, උපස්ථය සෑදූ කාලය සහ අහඹු අනුපිළිවෙලක් (නොන්ස්) මත පදනම්ව ජනනය කරන හඳුනාගැනීමක් භාවිතා කරයි. ගැටළුව වන්නේ වර්ඩ්ප්රෙස් හෘද ස්පන්දන ඉල්ලීම් හසුරුවන්නෙහි නිසි චෙක්පත් නොමැතිකම නිසා, විශේෂයෙන් නිර්මාණය කරන ලද ඉල්ලීමක් භාවිතා කරමින්, ඕනෑම පරිශීලකයෙකුට නවතම උපස්ථය පිළිබඳ තොරතුරු ලබා ගත හැකි අතර, එයට කාලය සහ ආශ්රිත අහඹු අනුපිළිවෙල පිළිබඳ තොරතුරු ද ඇතුළත් වේ.
ඊළඟට, ලැබුණු තොරතුරු මත පදනම්ව, ඔබට හැඳුනුම්කාරකයක් ජනනය කර ඊමේල් මගින් බාගත කිරීමේ ක්රමය භාවිතා කර උපස්ථ පිටපතක් බාගත කළ හැකිය. මෙම ක්රමයේ භාවිතා වන maybe_download_backup_from_email ශ්රිතයට පරිපාලකයාට පමණක් ප්රවේශ විය හැකි විකල්ප-general.php පිටුවට ප්රවේශය අවශ්ය වේ. කෙසේ වෙතත්, ප්රහාරකයෙකුට චෙක්පතේ භාවිතා කරන $pagenow විචල්යය වංචා කිරීමෙන් සහ වරප්රසාද ලත් පරිශීලකයින්ට ප්රවේශ වීමට ඉඩ සලසන සේවා පිටුවක් හරහා ඉල්ලීමක් යැවීමෙන් මෙම සීමාව මඟ හැරිය හැක. උදාහරණයක් ලෙස, ඔබට “wp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus පෝරමයේ ඉල්ලීමක් යැවීමෙන් පරිපාලක වෙත පණිවිඩයක් යැවීම සඳහා පිටුව හරහා සම්බන්ධ විය හැක. ”.
මූලාශ්රය: opennet.ru