WordPress 第一备份插件 UpdraftPlus 出安全漏洞了,请赶快升级或者删除

知名的 WordPress 备份和恢复插件 UpdraftPlus 最近被检测到任意文件下载漏洞的信息。

UpdraftPlus 插件

UpdraftPlus 号称最好用的 WordPress 备份/恢复插件,搜索备份插件,在官方插件库排名第一,目前已有 300 多万用户正在使用,相比之下,我的 WPJAM Basic 目前才 1万多安装。😂

UpdraftPlus 分免费版和收费版,国外知名插件都是这样的,免费打开市场,通过更多功能和服务的付费版来盈利。

免费版可以备份到远程云存储,包括 Dropbox, 谷歌云端硬盘, 亚马逊 S3, 自建空间等等。

付费版可以克隆和迁移、增量备份,提供专家帮助和支持等等。

CVE-2022-0633

由于 UpdraftPlus 无法正确验证用户是否具有访问备份的随机数标识符所需的权限,这可能允许任何在网站上拥有任意权限账户的用户(如订阅者)下载最新的站点和数据库备份。

本来只应管理员有下载备份的权限,这样可能允许攻击者获取任何在网站上拥有帐户的用户(如订阅者)下载最新的站点和数据库备份。如果 WordPress 开放注册,这样获取订阅者权限的用户,就很容易了。

影响的版本是 UpdraftPlus 免费版 1.22.3 之前和收费版 2.22.3 之前的版本,当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。


©我爱水煮鱼,本站推荐使用的主机:阿里云,国外主机建议使用BlueHost

本站长期承接 WordPress 优化建站业务,请联系微信:「chenduopapa」。