Nuglaanta khatarta ah (CVE-3-2022) ayaa lagu aqoonsaday UpdraftPlus WordPress add-on, kaas oo leh in ka badan 0633 milyan oo rakibaadyo firfircoon, taas oo u oggolaanaysa isticmaale qolo saddexaad inuu soo dejiyo nuqul ka mid ah xogta goobta, kaas oo, marka lagu daro content, ka kooban xuduudaha dhammaan isticmaalayaasha iyo hashes sirta ah. Arrinta waxaa lagu xalliyaa siidaynta 1.22.3 iyo 2.22.3, kaas oo lagula taliyay dhammaan isticmaalayaasha UpdraftPlus inay ku rakibaan sida ugu dhakhsaha badan.
UpdraftPlus waxaa lagu tiriyaa inuu yahay ku-darka ugu caansan ee abuurista kaydinta boggaga ku shaqeeya madal WordPress. Sababo la xiriira hubinta khaldan ee xuquuqaha gelitaanka, ku-darku wuxuu oggolaaday soo dejinta nuqul kaabis ah oo goobta ah iyo xogta laxiriirta ma aha oo kaliya maamulayaasha, laakiin sidoo kale isticmaale kasta oo ka diiwaan gashan goobta, tusaale ahaan, heerka macmiilka.
Si loogu shubo kaydka UpdraftPlus, aqoonsi ayaa la isticmaalaa kaas oo la sameeyay iyadoo lagu salaynayo wakhtiga kaydinta la abuuray iyo isku xigxiga random (marna). Dhibaatadu waxay tahay iyada oo ay ugu wacan tahay la'aanta hubinta saxda ah ee maamulaha codsiga garaaca wadnaha ee WordPress, iyadoo la adeegsanayo codsi si gaar ah loo qorsheeyay, isticmaale kasta wuxuu heli karaa macluumaadka ku saabsan kaydkii ugu dambeeyay, kaas oo sidoo kale ku jira macluumaadka ku saabsan wakhtiga iyo isku xigxiga la xidhiidha random.
Marka xigta, iyadoo lagu salaynayo macluumaadka la helay, waxaad soo saari kartaa aqoonsi oo waxaad soo dejisan kartaa nuqul kaabta adigoo isticmaalaya habka soo dejinta email ahaan. Shaqada maybe_download_backup_from_email ee loo isticmaalo habkan waxay u baahan tahay gelitaanka bogga fursadaha-general.php, kaas oo uu heli karo maamulaha oo keliya. Si kastaba ha ahaatee, weeraryahanku waxa uu dhaafi karaa xaddidaaddan isaga oo ku shubaya doorsoomaha $pagenow ee lagu isticmaalay jeegga oo u soo diraya codsi bogga adeegga kaas oo u oggolaanaya gelitaanka isticmaalayaasha aan mudnaanta lahayn. Tusaale ahaan, waxaad kala xiriiri kartaa bogga si aad fariin ugu dirto maamulaha adigoo codsi u diraya foomka "wp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus β.
Source: opennet.ru