Athari hatari (CVE-3-2022) imetambuliwa katika programu jalizi ya UpdraftPlus WordPress, ambayo ina zaidi ya usakinishaji milioni 0633 unaotumika, unaomruhusu mtumiaji mwingine kupakua nakala ya hifadhidata ya tovuti, ambayo, pamoja na yaliyomo, ina vigezo vya watumiaji wote na heshi za nenosiri. Tatizo limetatuliwa katika matoleo 1.22.3 na 2.22.3, ambayo yanapendekezwa kwa watumiaji wote wa UpdraftPlus kusakinisha haraka iwezekanavyo.
UpdraftPlus inatajwa kuwa programu jalizi maarufu zaidi ya kuunda hifadhi rudufu za tovuti zinazoendeshwa kwenye jukwaa la WordPress. Kwa sababu ya ukaguzi usio sahihi wa haki za ufikiaji, nyongeza iliruhusu kupakua nakala rudufu ya tovuti na hifadhidata inayohusika sio tu kwa wasimamizi, lakini pia kwa mtumiaji yeyote aliyesajiliwa kwenye tovuti, kwa mfano, na hali ya mteja.
Ili kupakia nakala rudufu kwenye UpdraftPlus, kitambulisho kinatumika ambacho hutengenezwa kulingana na wakati ambapo hifadhi rudufu iliundwa na mfuatano wa nasibu (nonce). Shida ni kwamba kwa sababu ya ukosefu wa ukaguzi sahihi katika kidhibiti cha ombi la mapigo ya moyo ya WordPress, kwa kutumia ombi iliyoundwa mahsusi, mtumiaji yeyote anaweza kupata habari kuhusu nakala rudufu ya hivi karibuni, ambayo pia inajumuisha habari kuhusu wakati na mlolongo wa nasibu unaohusishwa.
Ifuatayo, kulingana na taarifa iliyopokelewa, unaweza kuzalisha kitambulisho na kupakua nakala ya hifadhi kwa kutumia mbinu ya kupakua kwa barua pepe. Chaguo la kukokotoa la maybe_download_backup_from_email linalotumika katika njia hii linahitaji ufikiaji wa ukurasa wa options-general.php, ambao unaweza kufikiwa na msimamizi pekee. Hata hivyo, mshambulizi anaweza kukwepa kizuizi hiki kwa kuharibu kigezo cha $pagenow kinachotumika katika ukaguzi na kutuma ombi kupitia ukurasa wa huduma unaoruhusu ufikiaji wa watumiaji wasio na haki. Kwa mfano, unaweza kuwasiliana kupitia ukurasa kwa ajili ya kutuma ujumbe kwa msimamizi kwa kutuma ombi kwa njia ya βwp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus β.
Chanzo: opennet.ru