Εκατομμύρια ιστότοποι WordPress έχουν λάβει αναγκαστική ενημέρωση κώδικα τις τελευταίες ημέρες . Ο λόγος είναι μια ευπάθεια στο UpdraftPlus, ένα δημοφιλές πρόσθετο που επιτρέπει στους χρήστες να δημιουργούν και να επαναφέρουν αντίγραφα ασφαλείας ιστοτόπων. Οι προγραμματιστές του UpdraftPlus ζήτησαν την υποχρεωτική ενημέρωση κώδικα, καθώς η ευπάθεια θα επέτρεπε σε οποιονδήποτε με λογαριασμό να κατεβάσει ολόκληρη τη βάση δεδομένων ενός ιστότοπου.
Το σφάλμα ανακαλύφθηκε από τον ερευνητή ασφάλειας της Jetpack, Marc Montpas, κατά τη διάρκεια ενός ελέγχου ασφαλείας της προσθήκης. “Αυτό το σφάλμα είναι πολύ εύκολο να το εκμεταλλευτεί κανείς, με μερικά πολύ άσχημα αποτελέσματα εάν γίνει εκμετάλλευση”, δήλωσε και πρόσθεσε: «Έδωσε τη δυνατότητα σε χρήστες χαμηλών προνομίων να κατεβάσουν αντίγραφα ασφαλείας ενός ιστότοπου, τα οποία περιλαμβάνουν ακατέργαστα αντίγραφα ασφαλείας βάσης δεδομένων».
Είπε στους προγραμματιστές του UpdraftPlus για το σφάλμα την Τρίτη την περασμένη εβδομάδα, το διόρθωσαν μια μέρα αργότερα και άρχισαν την αναγκαστική εγκατάσταση της ενημέρωσης κώδικα λίγο μετά από αυτό. 1,7 εκατομμύρια ιστότοποι το είχαν λάβει από την Πέμπτη, σε σύνολο 3 εκατομμυρίων χρηστών.
Το κύριο ελάττωμα ήταν ότι το UpdraftPlus δεν εφάρμοσε σωστά τη λειτουργία “hearbeat” του WordPress ελέγχοντας σωστά εάν οι χρήστες είχαν δικαιώματα διαχειριστή. Ένα άλλο ζήτημα ήταν μια μεταβλητή που χρησιμοποιήθηκε για την επικύρωση διαχειριστών που θα μπορούσαν να τροποποιηθούν από μη αξιόπιστους χρήστες. Το Jetpack παρείχε περισσότερες λεπτομέρειες σχετικά με τον τρόπο ένα hack θα μπορούσε να λειτουργήσει σε μια ανάρτηση ιστολογίου.
