Luka w UpdraftPlus WP Backup & Migration umożliwia obejście uwierzytelniania
Wtyczka UpdraftPlus do WordPressa ma krytyczną lukę pozwalającą na obejście uwierzytelniania i zdalne wykonanie kodu. Zalecane szybkie aktualizacje.
- CVSS
- 8.1 HIGH
- EPSS
- 87.98%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka UpdraftPlus: WP Backup & Migration dla WordPressa do wersji 1.26.4 zawiera lukę pozwalającą na obejście uwierzytelniania poprzez niewłaściwą weryfikację komunikatów zdalnych. Atakujący mogą sfałszować polecenia RPC i wykonać je z uprawnieniami administratora, co może prowadzić do zdalnego wykonania kodu.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla właścicieli stron opartych na WordPress z zainstalowaną wtyczką UpdraftPlus. Atakujący mogą przejąć kontrolę nad witryną, instalując złośliwe wtyczki i wykonując dowolny kod, co może skutkować utratą danych, defacementem strony lub dalszymi atakami na infrastrukturę IT.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie sprawdzić dostępność aktualizacji wtyczki UpdraftPlus i zastosować najnowszą wersję dostarczoną przez producenta. W przypadku braku natychmiastowej aktualizacji zaleca się ograniczenie dostępu do funkcji zdalnej komunikacji, monitorowanie logów pod kątem podejrzanych działań oraz priorytetowe traktowanie tej luki w procesie zarządzania podatnościami.