اخیراً آسیب پذیری های جدی در افزونه UpdraftPlus WordPress با بیش از سه میلیون نصب کشف شده است. به گزارش techgenyz، محقق امنیتی Jetpack یک آسیبپذیری دانلود پشتیبان را کشف کرده است که میتواند به کاربران با حداقل دسترسی، مانند فالوورها، امکان دانلود آخرین نسخههای پشتیبان سایت را بدهد.
او توضیح داد که در صورت استفاده از این آسیبپذیری، مهاجمان میتوانند به اطلاعات مهم پایگاه داده سایت آسیبدیده مانند نامهای کاربری و رمزهای عبور هش شده دسترسی پیدا کنند.
Montpas گفت: «ما این آسیبپذیری را به نویسندگان افزونهها گزارش کردیم و آنها اخیراً نسخه 1.22.3 را برای رفع آن منتشر کردند. بهروزرسانیهای خودکار اجباری نیز به دلیل جدی بودن این مشکل تحت فشار هستند». دیوید اندرسونتوسعهدهنده اصلی افزونه UpdraftPlus گفت که در 15 فوریه گزارش اشکال امنیتی را از Monpas دریافت کردهاند.
تیم Threat Intelligence افزونه Wordfence توضیح داد که بایگانی ها گنجینه ای از اطلاعات حساس هستند و اغلب حاوی فایل های پیکربندی هستند که می توان از آنها برای دسترسی به پایگاه داده سایت و همچنین محتویات خود پایگاه داده استفاده کرد.
UpdraftPlus یک افزونه محبوب پشتیبان گیری برای وب سایت های وردپرسی است که به شما امکان دانلود نسخه پشتیبان را می دهد. یکی از قابلیت هایی که این افزونه پیاده سازی می کند امکان ارسال لینک های پشتیبان به ایمیل انتخاب شده توسط صاحب سایت بود. متأسفانه این عملکرد به طرز خطرناکی انجام شد.
Wordfence گفت: “ما از همه کاربران افزونه UpdraftPlus می خواهیم که در اسرع وقت به آخرین نسخه (1.22.3) به روز رسانی کنند. زیرا عواقب سوء استفاده از آن بسیار شدید خواهد بود».