我们新的UpdraftPlus版本1.22.3(免费版本)/ 2.22.3(付费版本)是一个安全版本。简短的版本是:你应该更新。要了解详细信息,请继续阅读!2月15日晚,我们从Automattic的安全研究员Marc-Alexandre Montpas那里收到了一份安全缺陷报告,他在对UpdraftPlus的审计中发现了UpdraftPlus当前版本中一个之前未知的缺陷,该版本保留了CVE标识符CVE-2022-23303。
此缺陷允许任何在UpdraftPlus激活的WordPress安装中登录的用户行使下载现有备份的特权,该特权本应仅限于管理用户。这是因为对与检查当前备份状态相关的代码缺少权限检查。这允许获得一个在其他情况下未知的内部标识符,然后可以用于通过对下载权限的检查。
这意味着如果您的WordPress站点允许不受信任的用户使用WordPress登录,并且您有任何现有的备份,那么您可能很容易受到技术熟练的用户设法下载现有备份的攻击。受影响的网站有数据丢失/数据盗窃的风险,通过攻击者访问您的网站的备份副本,如果您的网站包含任何非公开的内容。我之所以说“技术熟练”,是因为在那一点上,还没有关于如何利用这一漏洞的公开证据。在这个时间点上,它依赖于一个黑客反向工程的变化在最新的UpdraftPlus版本解决它。但是,您当然不应该指望这花费很长时间,而应该立即更新。如果你是你的WordPress网站上唯一的用户,或者你所有的用户都是受信任的,那么你就不会受到攻击,但我们仍然建议在任何情况下进行更新。使用UpdraftPlus Premium特性对数据库备份进行加密的用户,如果您已将加密密码保密,则可以防止此问题导致的数据丢失/被盗。(没有已知的漏洞允许攻击者也访问此文件)。在这种情况下,只有你的文件备份中的任何机密信息是有风险的(通常只有你的媒体/上传文件,因为插件和主题通常只是公共代码,不包含任何敏感内容,任何公众成员都可以从它们的原始供应商/作者下载)。还要注意,WordPress数据库遵循现代安全标准,对存储的密码进行散列。这意味着你的WordPress登录密码是受保护的,即使有人获得了它的未加密副本。
该信息在UpdraftPlus的安全版本可用后大约一天发布。在此期间,大多数网站都进行了更新。同样,我们敦促所有尚未进行更新的用户进行更新。我们在UpdraftPlus真诚地为任何和所有的不便所造成的道歉,并希望感谢马克与我们一起工作。从我们收到报告的那一刻起,我们就“全员出动”。在一个小时内,一个更新推送给了高级用户。我们已经失去了大量的睡眠,因为您的网站及其备份对我们很重要,我们将继续努力工作,以确保情况继续如此。
(附录:1.22.4 / 2.22.4版本随后发布了,它通过添加一个变通方法来处理一个流行的第三方插件中的bug冲突(我们也向插件作者报告了该问题)。David Anderson(首席开发人员)
