UpdraftPlus-plug-in zorgt voor patch miljoenen WordPress-websites
De patch moet het probleem met UpdraftPlus verhelpen. Dat is een populaire WordPress-plug-in waarmee gebruikers back-ups kunnen maken van hun websites, om ze indien nodig weer te herstellen. Het waren de ontwikkelaars van UpdraftPlus zelf die om een verplichte patch hadden gevraagd. De kwetsbaarheid zou het indringers namelijk mogelijk maken om zomaar de hele databank van een website te downloaden.
Het was Marc Ontpas, security-onderzoeker bij Jetpack, die de bug ontdekte tijdens een veiligheidsaudit van de plug-in. “De bug is best wel gemakkelijk te misbruiken en de gevolgen kunnen heel erg zijn. Het werd mogelijk voor gebruikers met basic toegangsrechten om de back-ups van een site te downloaden, inclusief de ruwe databankback-ups”, zei hij aan Ars Technica.
UpdraftPlus handelde snel
Ontpas bracht de ontwikkelaars van UpdraftPlus vorige week dinsdag op de hoogte. Een dag later hadden zij al een patch ontwikkeld en startten ze met de uitrol van de verplichte update. Donderdag zouden naar verluidt al 1,7 miljoen WordPress-sites de patch geïnstalleerd hebben.
Het voornaamste probleem ontstond doordat UpdraftPlus de ‘hearbeat’-functie van WordPress niet correct implementeerde. Daardoor werd niet voldoende gecontroleerd of gebruikers ook administratieve handelingen konden uitvoeren. Een tweede issue was ontstaan door een variabele die toeliet dat admins aangepast konden worden door niet-vertrouwde gebruikers. Hoe een hack in zijn werk zou kunnen gaan, heeft Jetpack beschreven in een blogpost.
Als je WordPress-website gebruikmaakt van UpdraftPlus, dan moet je dus zeker even controleren of de plug-in automatisch geüpdatet werd naar versie 1.22.4 of nieuwer (voor de gratis versie) of 2.22.4 (voor de premium-app).
