WordPress UpdraftPlus ενημερώστε άμεσα

Εκατομμύρια ιστότοποι WordPress έπρεπε να ενημερωθούν και ο λόγος ήταν μια ευπάθεια στο UpdraftPlus, ένα δημοφιλές πρόσθετο που επιτρέπει στους χρήστες να δημιουργούν και να επαναφέρουν αντίγραφα ασφαλείας.

Οι προγραμματιστές του UpdraftPlus ζήτησαν την υποχρεωτική ενημέρωση, καθώς η ευπάθεια επέτρεπε σε οποιονδήποτε με λογαριασμό να κατεβάσει ολόκληρη τη βάση δεδομένων ενός ιστότοπου.

updraftplus

Το σφάλμα ανακαλύφθηκε από τον ερευνητή ασφαλείας της Jetpack, Marc Montpas, κατά τη διάρκεια ενός ελέγχου ασφαλείας του πρόσθετου.

“Αυτό το σφάλμα είναι πολύ εύκολο να το εκμεταλλευτεί κανείς, με πολύ άσχημα αποτελέσματα. Δίνει τη δυνατότητα σε χρήστες χαμηλών προνομίων να κατεβάσουν αντίγραφα ασφαλείας ενός ιστότοπου, τα οποία περιλαμβάνουν ακατέργαστα αντίγραφα ασφαλείας της βάσης δεδομένων”.

Ο ίδιος ανέφερε στους προγραμματιστές του UpdraftPlus το σφάλμα την Τρίτη την περασμένη εβδομάδα, το διόρθωσαν μια μέρα αργότερα και άρχισαν άμεσα την αναγκαστική εγκατάσταση της ενημέρωσης.

1,7 εκατομμύρια ιστότοποι έχουν ενημερωθεί από την Πέμπτη, από ένα σύνολο 3 εκατομμυρίων χρηστών που χρησιμοποιούν το plugin.

Το κύριο ελάττωμα ήταν ότι το UpdraftPlus δεν εφάρμοσε σωστά τη λειτουργία “hearbeat” του WordPress και δεν μπορούσε να ελέγξει εάν οι χρήστες είχαν δικαιώματα διαχειριστή. Ένα άλλο ζήτημα ήταν μια μεταβλητή που χρησιμοποιούνταν για την επικύρωση των διαχειριστών για να ξεχωρίζουν από τους μη αξιόπιστους χρήστες. Για όσους ενδιαφέρονται η Jetpack δημοσίευσε περισσότερες λεπτομέρειες για το hack.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).