Er zijn patches uitgegeven om een ”ernstig” beveiligingslek in UpdraftPlus te bevatten, een WordPress-plug-in met meer dan drie miljoen installaties, die kan worden gebruikt om de privégegevens van de site te downloaden met behulp van een account op de kwetsbare sites.
“Alle versies van UpdraftPlus vanaf maart 2019 bevatten een kwetsbaarheid die is veroorzaakt door een ontbrekende controle op het machtigingsniveau, waardoor niet-vertrouwde gebruikers toegang hebben tot back-ups”, zeiden de beheerders van de plug-in in een advies dat deze week werd gepubliceerd.
Beveiligingsonderzoeker Marc-Alexandre Montpas van Automattic is gecrediteerd met het ontdekken en rapporteren van de kwetsbaarheid op 14 februari waaraan de identifier is toegewezen CVE-2022-0633 (CVSS-score: 8,5). Het probleem heeft gevolgen voor de UpdraftPlus-versies van 1.16.7 tot 1.22.2.
UpdraftPlus is een back-up- en hersteloplossing die in staat is om volledige, handmatige of geplande back-ups van WordPress-bestanden, databases, plug-ins en thema’s uit te voeren, die vervolgens kunnen worden hersteld via de WordPress beheerdersdashboard.
Een gevolg hiervan defect is dat elke ingelogde gebruiker op een WordPress-installatie waarop UpdraftPlus is geïnstalleerd, het recht kan uitoefenen om een bestaande back-up te downloaden – machtigingen die alleen voor beheerders hadden moeten worden gereserveerd.
Naast het lekken van wachtwoorden en andere vertrouwelijke gegevens, kan het ook “in sommige gevallen site-overname als de aanvaller in staat is om database-inloggegevens te verkrijgen uit een configuratiebestand en met succes toegang te krijgen tot de sitedatabase”, WordPress-beveiligingsbedrijf Wordfence zei.
Gebruikers van de UpdraftPlus-plug-in wordt aangeraden om te updaten naar versie 1.22.3 (of 2.22.3 voor de Premium-versie) om mogelijke misbruik te voorkomen. De nieuwste versie die vanaf 17 februari beschikbaar is, is 1.22.4, die bugs verhelpt met betrekking tot het afdrukken van automatische back-upopties op PHP 8.
