Automattic 的安全研究员发现了一个影响流行的 WordPress 备份插件 UpdraftPlus 的漏洞。该漏洞允许黑客下载用户名和散列密码。Automattic 称其为“严重漏洞”。

UpdraftPlus WordPress 备份插件

UpdraftPlus 是一个流行的 WordPress 备份插件，已在超过 300 万个网站中积极安装。

该插件允许 WordPress 管理员备份他们的 WordPress 安装，包括包含用户凭据、密码和其他敏感信息的整个数据库。

发布商依靠 UpdraftPlus 来遵守其插件的最高安全标准，因为插件备份的数据非常敏感。

UpdraftPlus 漏洞

该漏洞是由 Automattic 的 Jetpack 的安全研究人员进行的审计发现的。

他们发现了两个以前未知的漏洞。

第一个与 UpdraftPlus 安全令牌（称为 nonces）如何泄露有关。这允许攻击者获取备份，包括随机数。

根据 WordPress，nonce 不应该是抵御黑客的主要防线。它明确指出，应该通过正确验证谁拥有正确的凭据（通过使用名为 current_user_can() 的函数）来保护函数。

WordPress 解释：

“永远不应依赖随机数进行身份验证、授权或访问控制。使用 current_user_can() 保护您的函数，并始终假设 nonce 会受到损害。”

第二个漏洞与对注册用户角色的不正确验证有关，这正是 WordPress 警告开发人员应采取措施锁定插件的原因。

不正确的用户角色验证允许拥有先前漏洞数据的人下载任何备份，其中当然包含敏感信息。

Jetpack 对此进行了描述：

“不幸的是，与 admin_init 挂钩的 UpdraftPlus_Admin::maybe_download_backup_from_email 方法也没有直接验证用户的角色。

虽然它确实间接应用了一些检查，例如检查 $pagenow 全局变量，但过去的研究表明该变量可以包含任意用户输入。

不良行为者可以根据他们从上述心跳漏洞中泄露的信息，使用此端点下载文件和数据库备份。”

美国政最近的站点和数据库备份。”

WordPress 强制更新 UpdraftPlus

该漏洞非常严重，WordPress 采取了非同寻常的措施，强制对所有尚未将 UpdraftPlus 更新到最新版本的安装进行自动更新。

但建议发布者理所当然地认为他们的安装已更新。

受影响的 UpdraftPlus 版本

1.22.3 之前的 UpdraftPlus 免费版本和 2.22.3 之前的 UpdraftPlus 高级版本容易受到攻击。

建议发布者检查他们使用的是最新版本的 UpdraftPlus。