В широко используемом инструменте резервного копирования WordPress существует важная проблема безопасности. Этой проблемой могут воспользоваться хакеры, которые даже не вошли в систему из-за уязвимости. Серьезность этой уязвимости оценивается как 8,8 по шкале от 0,0 до 10,0.
UpdraftPlus: плагин WP для резервного копирования и миграции
Данная проблема затрагивает широко используемый плагин Updraft Plus для WordPress, который активен более чем на 3 миллионах сайтов. Этот универсальный инструмент доступен как в бесплатной, так и в премиальной версиях. Он позволяет пользователям сохранять резервные копии в предпочитаемом ими облачном хранилище или отправлять файлы по электронной почте. Пользователи могут выбирать между запуском резервного копирования вручную или настройкой автоматического выполнения. Обширные возможности настройки плагина позволяют точно выбрать, какие данные следует резервировать, что делает его бесценным ресурсом при решении серьезных проблем с сервером и даже полезным во время миграции серверов.
Плагин «UpdraftPlus: WP Backup & Migration» для WordPress, вплоть до версии 1.24.11, был идентифицирован как имеющий уязвимость, связанную с внедрением объектов PHP. Эта уязвимость возникает из-за десериализации непроверенных данных в функции recursive_unserialized_replace. В результате неавторизованные злоумышленники могут воспользоваться этой уязвимостью, внедрив в систему нежелательные объекты PHP без необходимости аутентификации.
Рассматриваемое программное обеспечение не имеет известных уязвимостей, связанных с цепочками POP (протокол почтового отделения). Однако если установлен дополнительный плагин или тема, которая вводит цепочку POP, это потенциально может дать злоумышленнику возможность удалять файлы по своему желанию, получать доступ к конфиденциальной информации или запускать свой собственный код в системе. Администратору крайне важно тщательно искать и заменять любые потенциальные эксплойты, связанные с этой уязвимостью.
Похоже, что в журнале изменений Updraft Plus используется более тонкая терминология: обновление явно не обозначается как «исправление безопасности», а называется простой «настройкой».
Из официального журнала изменений плагина Updraft Plus WordPress:
В следующих обновлениях мы завершим и завершим процесс замены использования PHP-функции unserialize для создания экземпляров классов, который был начат в версии 1.24.7. Это изменение устраняет потенциальную проблему безопасности: если злоумышленник может опубликовать на вашем сайте разработки контент, который вы позже переместили на другой сайт, и этот контент содержит настроенный код, способный выполнять вредоносные действия, о которых злоумышленник знал до того, как вы клонировали сайт, то это удаление предотвратит такие действия. Однако из-за этого изменения некоторые операции поиска и замены, возникновение которых на практике маловероятно, выполняться не будут.
Уязвимость Updraft Plus исправлена
Пользователям рекомендуется подумать об обновлении своих установок Updraft Plus до самой последней версии — 1.24.12. Любые версии старше текущей были определены как уязвимые.
Прочтите рекомендации Wordfence:
UpdraftPlus: плагин WP Backup & Migration <= 1.24.11 – внедрение PHP-объекта без аутентификации
Смотрите также
- Действия команды поиска Google и Bing в Новый 2025 год
- Акции KZOS. Казаньоргсинтез: прогноз акций.
- Акции T. Т-Технологии: прогноз акций.
- Google запускает новый вид «24 часа» в консоли поиска
- Акции LENT. Лента: прогноз акций.
- Будет ли в Once Human кроссплатформенная игра и кроссплатформенный прогресс?
- Google Ads разрешит рекламу курьеров по фэнтези-спорту и лотереям во многих штатах
- OpenAI выпускает поиск ChatGPT: цитаты, элементы управления Robots.txt и многое другое
- Акции ELMT. Элемент: прогноз акций.
- Бета-версия Audience Insights Google Merchant Center
2025-01-05 08:08