В WordPress-дополнении UpdraftPlus, имеющем более 3 млн активных установок, выявлена опасная уязвимость (CVE-2022-0633), позволяющая стороннему пользователю загрузить копию базы данных сайта, в которой кроме контента содержатся параметры всех пользователей и хэши паролей. Проблема устранена в выпусках 1.22.3 и 2.22.3, которое рекомендуется как можно скорее установить всем пользователям UpdraftPlus.
UpdraftPlus преподносится как наиболее популярное дополнение для создания резервных копий сайтов, работающих под управлением платформы WordPress. Из-за некорректной проверки прав доступа дополнение позволяло загрузить резервную копию сайта и связанную с ней базу данных не только администраторам, но и любому зарегистрированному на сайте пользователю, например, имеющему статус подписчика.
Для загрузки резервных копий в UpdraftPlus используется идентификатор, генерируемый на основе времени создания резервной копии и случайной последовательности (nonce). Проблема в том, что из-за отсутствия должных проверок в обработчике heartbeat-запросов WordPress, при помощи специально оформленного запроса любой пользователь может получить информацию о последней резервной копии, которая в том числе включает сведения о времени и привязанной случайной последовательности.
அடுத்து, பெறப்பட்ட தகவலின் அடிப்படையில், நீங்கள் ஒரு அடையாளங்காட்டியை உருவாக்கலாம் மற்றும் மின்னஞ்சல் மூலம் பதிவிறக்க முறையைப் பயன்படுத்தி காப்பு பிரதியை பதிவிறக்கம் செய்யலாம். இந்த முறையில் பயன்படுத்தப்படும் maybe_download_backup_from_email செயல்பாட்டிற்கு விருப்பங்கள்-general.php பக்கத்தை அணுக வேண்டும், இது நிர்வாகிக்கு மட்டுமே அணுகக்கூடியது. எவ்வாறாயினும், சோதனையில் பயன்படுத்தப்படும் $pagenow மாறியை ஏமாற்றுவதன் மூலமும், சலுகை இல்லாத பயனர்களின் அணுகலை அனுமதிக்கும் சேவைப் பக்கத்தின் மூலம் கோரிக்கையை அனுப்புவதன் மூலமும் தாக்குபவர் இந்தத் தடையைத் தவிர்க்கலாம். எடுத்துக்காட்டாக, “wp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus என்ற படிவத்தில் கோரிக்கையை அனுப்புவதன் மூலம் நிர்வாகிக்கு செய்தியை அனுப்ப பக்கத்தின் மூலம் தொடர்பு கொள்ளலாம். ”.
ஆதாரம்: opennet.ru
