У WordPress-доповненні UpdraftPlus, що має понад 3 млн активних установок, виявлено небезпечну вразливість (CVE-2022-0633), що дозволяє сторонньому користувачеві завантажити копію бази даних сайту, в якій, крім контенту, містяться параметри всіх користувачів та хеші паролів. Проблема усунена у випусках 1.22.3 та 2.22.3, які рекомендуються якомога швидше встановити всім користувачам UpdraftPlus.
UpdraftPlus подається як найбільш популярний додаток для створення резервних копій сайтів, що працюють під управлінням платформи WordPress. Через некоректну перевірку прав доступу доповнення дозволяло завантажити резервну копію сайту та пов'язану з нею базу даних не тільки адміністраторам, а й будь-якому зареєстрованому на сайті користувачу, наприклад, що має статус передплатника.
Для завантаження резервних копій в UpdraftPlus використовується ідентифікатор, що генерується на основі часу створення резервної копії та випадкової послідовності (nonce). Проблема в тому, що через відсутність належних перевірок в обробнику heartbeat-запитів WordPress, за допомогою спеціально оформленого запиту будь-який користувач може отримати інформацію про останню резервну копію, яка включає відомості про час і прив'язану випадкову послідовність.
Далі на основі отриманої інформації можна сформувати ідентифікатор та завантажити резервну копію, скориставшись методом завантаження по email. Функція maybe_download_backup_from_email, що використовується при даному методі, вимагає звернення до сторінки options-general.php, доступної тільки адміністратору. Проте атакуючий може обійти це обмеження через спуфінг використовуваної під час перевірки змінної $pagenow та відправлення запиту через службову сторінку, яка допускає звернення непривілейованих користувачів. Наприклад, можна звернутися через сторінку надсилання повідомлення адміністратору, надіславши запит у вигляді "wp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus".
Джерело: opennet.ru