Oltre tre milioni di siti basati su WordPress hanno ricevuto un aggiornamento forzato per risolvere una vulnerabilità critica presente nel plugin UpdraftPlus. Sfruttando il bug, scoperto dal ricercatore Marc Montpas di Automattic, un malintenzionato potrebbe accedere ai backup senza privilegi di amministratore. Le versioni più recenti sono 1.22.4 (free) e 2.22.4 (premium).
Update forzato per il plugin UpdraftPlus
Il plugin UpdraftPlus semplifica la procedura di backup e successivo ripristino dei database. Consente di programmare la creazione dei backup che possono essere caricati su vari servizi di cloud storage, tra cui Dropbox e Google Drive. Montpas ha contattato lo sviluppatore il 14 febbraio e due giorni dopo è stata forzata l’installazione della nuova versione, considerata la gravità del problema di sicurezza.
Analizzando il codice, il ricercatore ha scoperto che il plugin non verificava se l’utente aveva i privilegi di amministratore. Pertanto chiunque (con le competenze tecniche adeguate) poteva effettuare il download dei backup, sfruttando la funzionalità che permette di inviare una copia via email. I backup contengono numerosi dati sensibili, tra cui password hashed, username e indirizzi IP. Fortunatamente, al momento, non sono noti exploit attivi.
Gli utenti che usano la versione premium di UpdraftPlus corrono meno rischi perché i dati presenti nel backup sono cifrati. È raro che venga forzata l’installazione di un aggiornamento, ma in questo caso era necessario. Se non sono state scaricate le ultime versioni del plugin (1.22.4 e 2.22.4) è consigliato fortemente il download manuale.