UpdraftPlus 1.22.3 behebt eine schwere Sicherheitslücke durch ein erzwungenes Sicherheitsupdate von WordPress.org – WP Tavern

4. März 2022

UpdraftPlusEin Plugin, mit dem Nutzer/innen Backups bei verschiedenen Cloud-Anbietern erstellen können, hat eine schwerwiegende Sicherheitslücke geschlossen, durch die eingeloggte Nutzer/innen die letzten Backups einer Website herunterladen konnten. Die gepatchte Version (1.22.3) wurde über ein erzwungenes Auto-Update verschickt, eine Maßnahme, die für schwere Sicherheitslücken reserviert ist, die eine große Anzahl von Nutzern betreffen. UpdraftPlus ist auf mehr als 3 Millionen WordPress-Websites aktiv.

Die Sicherheitslücke wurde entdeckt von Marc Montpas, Sicherheitsforscher bei Jetpack Scan, während eines internen Audits. UpdraftPlus erklärte den Nutzern die Sicherheitslücke in einer Hinweis nachdem das Update veröffentlicht wurde:

Dieser Fehler ermöglicht es jedem angemeldeten Benutzer einer WordPress-Installation mit aktivem UpdraftPlus, das Privileg auszuüben, ein bestehendes Backup herunterzuladen, was eigentlich nur administrativen Benutzern vorbehalten sein sollte. Dies war aufgrund einer fehlenden Berechtigungsprüfung des Codes möglich, der den aktuellen Backup-Status prüft. Dadurch konnte eine interne Kennung erlangt werden, die sonst nicht bekannt war und die dann dazu verwendet werden konnte, eine Überprüfung der Berechtigung zum Herunterladen zu umgehen.

Das Problem betrifft sowohl die kostenpflichtige als auch die kostenlose Version des Plug-ins. Innerhalb einer Stunde nach Erhalt der Meldung wurde eine Korrektur für die kostenpflichtigen Versionen bereitgestellt. Jede Version des kostenlosen Plugins zwischen 1.16.7 und 1.22.3 ist anfällig. UpdraftPlus behauptet, dass die Mehrheit der Websites bereits aktualisiert wurde. Die Statistiken von WordPress.org zeigen, dass ca. 35 % der Updraft-Nutzer nicht auf die neueste Version aktualisiert haben, was bedeutet, dass mehr als eine Million Installationen immer noch verwundbar sind.

Bislang gibt es keine bestätigten Berichte über Angriffe. Weitere Details zu der Sicherheitslücke findest du in Montpas' Bericht auf der Jetpack-Website. UpdraftPlus-Nutzer sollten ihre Websites überprüfen, um sicherzustellen, dass das Plugin mit der neuesten, gepatchten Version läuft.

Quelle


Dieser Artikel ist im Original von wptavern.com und wurde übersetzt
https://wptavern.com/updraftplus-1-22-3-patches-severe-vulnerability-through-forced-security-update-from-wordpress-org

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung