الكشف عن ثقرة في البرنامج المساعد للنسخ الاحتياطي في WordPress

0

الكشف عن ثقرة في البرنامج المساعد للنسخ الاحتياطي في WordPress تم الكشف عن عيب فادح في البرنامج المساعد للنسخ الاحتياطي في WordPress والذي يستخدمه أكثر من 3 ملايين موقع
تم إصدار تصحيحات لاحتواء ثغرة أمنية “خطيرة” في UpdraftPlus ، وهو مكون إضافي للـ WordPress يحتوي على أكثر من ثلاثة ملايين عملية تثبيت ، والتي يمكن تسليحها لتنزيل بيانات الموقع الخاصة باستخدام حساب على المواقع المعرضة للخطر.

قال مشرفو البرنامج المساعد في تقرير استشاري نُشر هذا الأسبوع: “جميع إصدارات UpdraftPlus بدءًا من مارس 2019 فصاعدًا تحتوي على ثغرة أمنية ناجمة عن فحص مستوى الأذونات المفقود ، مما يسمح للمستخدمين غير الموثوق بهم بالوصول إلى النسخ الاحتياطية”.

النسخ الاحتياطية التلقائية على GitHub

يُنسب الفضل إلى الباحث الأمني ​​Marc-Alexandre Montpas من Automattic في اكتشاف الثغرة الأمنية والإبلاغ عنها في 14 فبراير والتي تم تعيينها للمعرف CVE-2022-0633 (درجة CVSS: 8.5). تؤثر المشكلة على إصدارات UpdraftPlus من 1.16.7 إلى 1.22.2.

UpdraftPlus هو حل للنسخ الاحتياطي والاستعادة قادر على إجراء نسخ احتياطية كاملة أو يدوية أو مجدولة لملفات WordPress وقواعد البيانات والمكونات الإضافية والسمات ، والتي يمكن استعادتها بعد ذلك عبر لوحة تحكم مسؤول WordPress.

نتيجة لهذا العيب هو أنه يسمح لأي مستخدم قام بتسجيل الدخول على تثبيت WordPress مع تثبيت UpdraftPlus لممارسة امتياز تنزيل نسخة احتياطية موجودة – الأذونات التي كان يجب أن تكون محجوزة للمستخدمين الإداريين فقط.

أدوبي تعلن عن سحابة اكسبرس

إلى جانب تسريب كلمات المرور وغيرها من البيانات السرية ، يمكن أيضًا “في بعض الحالات الاستيلاء على الموقع إذا كان المهاجم قادرًا على الحصول على بيانات اعتماد قاعدة البيانات من ملف التكوين والوصول بنجاح إلى قاعدة بيانات الموقع” ، حسبما قالت شركة WordPress الأمنية Wordfence.

الكشف عن ثقرة في البرنامج المساعد للنسخ الاحتياطي في WordPress ويوصى مستخدمو الإضافة UpdraftPlus بالتحديث إلى الإصدار 1.22.3 (أو 2.22.3 للإصدار المميز) للتخفيف من أي استغلال محتمل. أحدث إصدار متاح اعتبارًا من 17 فبراير هو 1.22.4 ، والذي يعالج الأخطاء المتعلقة بطباعة خيارات النسخ الاحتياطي التلقائي على PHP 8.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.