Ailagbara ti o lewu (CVE-3-2022) ni a ti ṣe idanimọ ni UpdraftPlus WordPress add-on, eyiti o ni diẹ sii ju awọn fifi sori ẹrọ ti nṣiṣe lọwọ miliọnu 0633, ngbanilaaye olumulo ẹnikẹta lati ṣe igbasilẹ ẹda ti aaye data aaye naa, eyiti, ni afikun si akoonu, ni awọn paramita ti gbogbo awọn olumulo ati ọrọ igbaniwọle hashes. Ọrọ naa ni ipinnu ni awọn idasilẹ 1.22.3 ati 2.22.3, eyiti a ṣeduro fun gbogbo awọn olumulo UpdraftPlus lati fi sori ẹrọ ni kete bi o ti ṣee.
UpdraftPlus ti wa ni touted bi afikun olokiki julọ fun ṣiṣẹda awọn afẹyinti ti awọn aaye ti n ṣiṣẹ lori iru ẹrọ Wodupiresi. Nitori iṣayẹwo ti ko tọ ti awọn ẹtọ iwọle, afikun naa gba igbasilẹ ẹda afẹyinti ti aaye naa ati data data ti o somọ kii ṣe si awọn alakoso nikan, ṣugbọn si eyikeyi olumulo ti o forukọsilẹ lori aaye naa, fun apẹẹrẹ, pẹlu ipo alabapin.
Lati gbe awọn afẹyinti sinu UpdraftPlus, a lo idamo kan ti o jẹ ipilẹṣẹ ti o da lori akoko ti a ṣẹda afẹyinti ati ọkọọkan laileto (ko si). Iṣoro naa ni pe nitori aini awọn sọwedowo to dara ni olutọju ibeere ọkan ti Wodupiresi, ni lilo ibeere ti a ṣe apẹrẹ pataki, olumulo eyikeyi le gba alaye nipa afẹyinti tuntun, eyiti o tun pẹlu alaye nipa akoko ati lẹsẹsẹ laileto ti o somọ.
Nigbamii, da lori alaye ti o gba, o le ṣe idamo kan ati ṣe igbasilẹ ẹda afẹyinti nipa lilo ọna igbasilẹ nipasẹ imeeli. Iṣẹ maybe_download_backup_from_email ti a lo ni ọna yii nilo iraye si oju-iwe awọn aṣayan-general.php, eyiti o wa si ọdọ alabojuto nikan. Sibẹsibẹ, ikọlu le fori ihamọ yii nipa jijẹ oniyipada $pagenow ti a lo ninu sọwedowo ati fifiranṣẹ ibeere kan nipasẹ oju-iwe iṣẹ ti o fun laaye laaye nipasẹ awọn olumulo ti ko ni anfani. Fun apẹẹrẹ, o le kan si oju-iwe naa fun fifiranṣẹ ifiranṣẹ kan si alabojuto nipa fifiranṣẹ ibeere kan ni fọọmu “wp-admin/admin-post.php/%0A/wp-admin/options-general.php?page=updraftplus ".
orisun: opennet.ru